Le risque opérationnel au
sein des banques :
Quelle stratégie pour une
meilleure maîtrise ?
Mémoire de recherche appliquée dirigé par
monsieur Christian Marty Promotion RGF 2009
Présenté par : Sénoussi EPAYE
Avant-propos
Cette année de formation nous a permis
d'acquérir de solides connaissances en Finance Corporate.
Néanmoins, un mémoire de recherche appliqué
orientée vers la finance de marché a constitué pour nous
une excellente opportunité, tant pour l'élargissement de notre
champ de connaissances, que pour l'apprentissage qu'il assure en terme de
méthodologie.
Au regard des récents bouleversements qu'a connu la
sphère financière, nous avons estimé qu'il serait
judicieux de réaliser un dossier sur le risque opérationnel dans
les banques. En pleine crise morale et structurelle, la maîtrise de ce
"nouveau risque " constitue indéniablement un des enjeux majeurs pour
l'avenir des institutions bancaires.
Au-delà du travail de recherche, de collecte et
d'investigation qu'impose la rédaction de ce mémoire, nous avons
partagé avant tout une aventure humaine, avec tout ce qu'elle peut
contenir de désaccords, mésententes, contradictions et moments de
satisfaction. Une expérience très enrichissante.
Nous vous souhaitons une bonne lecture.
Sénoussi Epaye
« Plus faible sont les risque, meilleur est l'entreprise
».
[Sophocle]
SOMMAIRE
Introduction 4
1. Le Risk management 5
1.1. La notion de risque bancaire 5
1.2. Typologie des risques bancaires 6
1.2.1. Le risque crédit 6
1.2.2. Le risque de Marché 9
1.2.3. Le risque opérationnel 10
2. Contexte réglementaire 12
2.1. Réglementation prudentielle Bale II - La mesure des
fonds propres 12
2.2. Le rôle des fonds propres dans la prévention
des faillites bancaires 13
2.3. Pilier 1 - Exigences quantitatives : règles sur les
fonds propres, provisions, risques 15
2.4. Pilier 2 : le rôle du superviseur 16
2.5. Le pilier 3 : la communication financière 18
3. De la nécessité de maîtriser le risque
opérationnel 19
3.1. Le risque opérationnel : définition et enjeux
19
3.2. Mapping des 8 lignes d'activité du risque
opérationnel 20
3.3. Mapping des pertes opérationnelles 21
4. La mesure du risque opérationnel dans les
activités bancaires 24
4.1. Le capital réglementaire pour le risque
opérationnel 24
4.2. L'approche indicateur de base 24
4.3. L'approche standard 25
4.4. Les approches en mesures avancées 26
4.4.1. Scorecard approach 28
4.4.2. Mesure interne (Internal Measurement approach) 28
4.4.3. Approche par distribution de pertes (LDA : Loss
distribution approach) 29
5. Implémentation d'une stratégie de gestion du
risque opérationnel 30
5.1. Intégrer une infrastructure de support dans la banque
31
5.1.1. Définir l'architecture SI 31
5.1.2. Le module IDB (Incident Data Base) 32
5.1.3. Gestion des données 33
5.1.4. Gestion des incidents informatiques 33
5.1.5 Les outils de gestion des incidents 37
5.1.6. Les acteurs de processus : 38
5.2. Augmenter la réactivité de la banque 40
5.2.1. Vérification de l'efficacité globale de la
gestion des risques 40
5.2.2. Organisation du reporting 41
5.2.3. Les tableaux de bord 42
5.2.4. L'organisation du help desk 45
Conclusion 46
Bibliographie 47
Introduction
Quel est le point commun entre une épidémie de
grippe A, un ponzi qui s'élève à 50 milliard de dollars,
un piratage de données, une erreur de saisie, une catastrophe naturelle
ou encore une fraude engageant des pertes de trading de plus de 5 milliard
d'euros ?
Tous ces événements - vous l'aurez compris -
non-exhaustifs, font partie de ce que l'on appelle le risque
opérationnel. La prise en compte du risque opérationnel est l'une
des grandes nouveautés de la réglementation Bâle II. Ce
risque vient des pertes directes et indirectes pouvant résulter de
carences ou de défaillances attribuables à des procédures,
à des personnels, à des systèmes internes ou à des
événements extérieurs.
La définition du risque opérationnel est une
gageure. Ce risque présente un caractère atypique dans la mesure
où il concerne l'ensemble des activités de la banque. Il est par
ailleurs souvent difficile de l'estimer indépendamment des autres
risques qui caractérise l'activité bancaire. Le risque
opérationnel peut ainsi affecter le risque de marché si la
couverture, calculée sur un horizon de 10 jours lors de l'estimation du
risque de marché d'un portefeuille, aurait en fait dû porter sur
15 jours en raison d'un dysfonctionnement du service financier. Le trader de la
Société Générale qui a pris pour 50 milliards
€ d'exposition en risque de marché sans autorisation a-t-il pris un
risque de marché ou est-ce un risque opérationnel pour la banque
? Ce sont plusieurs opérations d'achat sur lesquelles les
contrôles ont été inopérants qui ont induits les
pertes. Mais c'est une pratique frauduleuse d'un employé qui est la
cause de ces pertes. Le risque opérationnel peut être difficile
à appréhender notamment à cause de l'enchainement en
cascade de plusieurs risques opérationnels distincts : combien peut
couter un blanchiment d'argent suivi d'une mise en examen d'un directeur
d'agence bancaire ? Du fait de cette complexité, la
réglementation propose une typologie des sources de risque
opérationnel, que nous étudierons dans ce dossier après
avoir défini les différents types de risques bancaires ainsi que
le contexte réglementaire encadrant ce domaine d'intervention.
La mesure des fonds propres réglementaires pour couvrir
le risque opérationnel est un défi important qui nécessite
tout d'abord une collecte de données. Celles-ci sont souvent
inexistantes, incomplètes, redondantes. De multiples erreurs et
systèmes d'informations sont susceptibles d'occasionner des pertes. Il
est très difficile de cerner le montant, la fréquence et les
facteurs-clés à l'origine du risque. Les banques sont
néanmoins en train de mettre en place des procédures de collectes
de données et des approches formalisées en la matière.
C'est ce que nous tenterons de décrypter.
1. Le Risk management
Le pilotage bancaire repose sur une estimation exhaustive des
risques, qui nécessite de recourir à des modèles de plus
en plus complexes et sophistiqués. Dans ce contexte, l'activité
de Risk management devient un véritable pôle stratégique au
sein de l'organisation bancaire. Au sein des banques, les risques ont toujours
fait l'objet d'une attention particulière. La nouveauté dans ce
domaine réside dans la détermination et l'obligation d'une
gestion plus active des risques. Ces objectifs modifient radicalement les
dispositifs traditionnels de suivi des risques de plusieurs manières :
une meilleure définition des différentes dimensions des risques
bancaires, l'apparition d'une gestion quantitative et planifiée de ces
risques, un pilotage plus actif des risques, des mesures plus précises,
des outils et des dispositifs nouveaux. Bref, il s'agit de mettre en place une
gestion calculée des risques dans le but de faciliter et
d'améliorer l'efficience dans la prise de risque. Le risque n'est plus
un élément intangible dont l'appréciation est
essentiellement qualitative. Il devient un objet spécifique, mesurable
et quantifiable, et un facteur de performance. La gestion des risques n'est
autre que l'ensemble des outils, des techniques et des dispositifs
organisationnels nécessaires pour y parvenir. Elle n'est nullement
figée mais, au contraire, en évolution constante.
1.1. La notion de risque bancaire
Les risques bancaires sont multiples et multidimensionnels. Il
faut les classifier et les définir le mieux possible en vue de les
mesurer et de les maîtriser.
- Le risque lié aux mouvements des marchés est
spécifiquement financier.
- Le risque de crédit, considéré comme
commercial, est celui qui provoque des pertes en cas de défaut des
contreparties.
- Le risque opérationnel, désigne le risque de
dysfonctionnement, de défaillances attribuables à des
procédures, à des personnels, à des systèmes
internes où à des événements extérieurs.
- Les autres risques que l'on ne peut catégoriser.
Pour plus de compréhension, nous détaillons ces
trois types de risque dans une partie dédiée.
1.2. Typologie des risques bancaires 1.2.1. Le risque
crédit
Le risque de crédit se définit par comme "par la
perte potentielle supportée par un prêteur suite à une
modification de la qualité du crédit de l'une de ces
contreparties sur un horizon donné". On peut spécifier trois
composantes du risque de crédit : le risque de défaut, le risque
de dégradation de la qualité du crédit, le risque de
recouvrement. Le risque de défaut correspond à
l'incapacité ou au refus de la contrepartie d'assurer le paiement de ses
échéances. Le risque de dégradation de la qualité
du crédit résulte de la perte de fiabilité du
débiteur. Le risque de recouvrement correspond à l'incertitude
liée au taux de recouvrement postérieur à un défaut
constaté. Toute dégradation du crédit entraîne une
diminution de la valeur de la créance ou du prêt, une baisse de la
notation du débiteur et une hausse des spreads exigés sur la
dette.
L'évaluation du risque crédit vise à
apprécier la perte probable attendue d'un portefeuille de crédit
sur un horizon donné, cette perte devant être couverte par une
provision. La perte effective pouvant être plus élevée que
la perte attendue, l'évaluation du risque de crédit vise
également à apprécier la perte inattendue, celle-ci devant
être couverte par les fonds propres. La perte attendue en cas de
défaut (EL - expected loss) correspond au montant exposé au
défaut (EAD - exposure at default) affecté de la
probabilité de défaut (PD -probability of défault) et du
taux de perte en cas de défaut (LGD - loss given défault) :
EL = EAD x PC x LGD
La perte étant aléatoire, il convient d'estimer
non seulement la perte moyenne attendue (Expected loss), mais aussi la
distribution de cette perte. Cette distribution permet de déterminer la
perte inattendue (UL - unexpected loss) qui doit être couverte par les
fonds propres. A titre d'illustration, si on considère un prêt
unique avec une loi biominale du défaut PD et une perte P, la perte
attendue et la perte inattendue se calculent aisément puisque
l'espérance de la perte s'exprime :
EL = E(P) = P x PD + 0 x (1-PD) = P x PD
L'évaluation du risque de crédit repose sur des
modèles ad hoc dont la construction comprend 2 phases. La
première consiste en une collecte d'informations sur les
éléments constitutifs du risque de chaque crédit
individuel. Il s'agit de ranger les crédits en classes de risque et de
déterminer les probabilités de défaut, le montant des
expositions et les pertes en cas de défaut de chaque classe. La seconde
phase consiste à modéliser l'incertitude des pertes et à
agréger les expositions individuelles pour décrire le risque de
portefeuille dans son ensemble. IL convient alors de tenir compte des
corrélations entre les risques des différents crédits.
L'évaluation du risque individuel de crédit
La construction du premier étage d'un modèle de
risque crédit comprend trois étape. La première est
consacrée à l'affectation des positions individuelles dans un
ensemble de classes de risque définies par le système de notation
interne de l'institution financière. En pratique la plupart des grandes
banques disposent de systèmes de notation des emprunteurs : des
systèmes de scoring pour les divers types de clients de
l'activité de détail (particuliers et professionnels), des
systèmes experts de diagnostic financier pour les entreprises. Les
banques peuvent aussi recourir aux notes fournies par les agences de notation
ou par d'autres fournisseurs d'informations financières. Ces
systèmes de notation permettent de classer les crédits en
fonction de leur risque individuel de défaut. La seconde étape
consiste à mesurer la probabilité que le crédit migre vers
une autre classe de risque. Cette étape est cruciale puisque la
classification interne des crédits et les probabilités de
défaut et de transition retenues à ce stade déterminent
très largement la forme de la fonction de densité des pertes et
donc la dispersion des pertes potentielles sur le portefeuille ainsi que la
VaR. Cette étape nécessite aussi de mesurer la valeur de
l'exposition, autrement dit la valeur de chaque crédit, dans les divers
états possibles, c'est-à-dire en fonction de son appartenance aux
différentes classes de risque. La troisième étape consiste
à déterminer le taux de perte en cas de défaut. Celui-ci
dépend du taux de récupération ou du recouvrement en cas
de défaut, qui dépend lui-même de la nature du
crédit, de sa maturité et des garanties qui lui sont
associées
La probabilité de défaut (PD)
Le risque de crédit, c'est d'abord le risque que la
valeur d'un prêt fluctue en raison d'événements qui
affectent la qualité de l'emprunteur et sa capacité de
remboursement. Son estimation repose sur les probabilités de
défaut des crédits si on considère un modèle de
défaut, ou sur les probabilités de changement de note ou de grade
si on considère un modèle en valeur de marché. Pour
estimer ces probabilités, on range d'abord les crédits en classes
de risque en utilisant un système de notation. On mesure ensuite le
risque de transition d'un emprunteur d'une classe de risque vers une autre. Il
est souhaitable que les probabilités de transition soient
ajustées pour tenir compte des caractéristiques des emprunteurs
et des conditions générales de l'économie. Il est tout
aussi souhaitable de conditionner l'estimation des matrices de transition au
secteur d'activité et à la taille de l'entreprise si les
données disponibles sont insuffisantes. Cela revient à utiliser
des probabilités de transition différentes pour des entreprises
de dimensions différentes appartenant à des secteurs
différents.
L'exposition en cas de défaut (EAD)
Dans le cas des risques classiques, l'exposition aux pertes
correspond au montant actualisé total des flux contractuels encore
dus. Il convient alors d'ajuster l'exposition au cours du temps
selon les modalités de remboursement ou d'amortissement
du prêt ou de la créance. En cas de garantie hypothécaire,
l'exposition varie dans le temps puisque la dette diminue alors que la valeur
de la garantie (bien immobilier par exemple) est aléatoire.
L'évaluation du risque de crédit sur un
portefeuille
La seconde étape de construction d'un modèle de
risque de crédit consiste à modéliser l'incertitude des
pertes futures sur l'horizon temporel choisi, non pour un crédit
particulier mais pour un portefeuille de crédits. Cette étape
permet de construire la fonction de densité de pertes futures et
d'estimer la VaR et les fonds propres nécessaires pour couvrir
l'exposition au risque. Les résultats obtenus lors de cette étape
permettent aussi de mettre en oeuvre une politique cohérente
d'allocation des fonds propres et de tarification des crédits.
Connaissant les probabilités de défauts ou de transition et la
valeur de chaque position individuelle en cas de changement de classe, y
compris en cas défaut, la construction de la fonction de densité
de pertes futures nécessite d'agréer les positions individuelles
pour déterminer leur risque à l'intérieur du portefeuille,
qui diffère naturellement de leur risque individuel. Dans une approche
de portefeuille, il importe en effet de tenir compte des corrélations
entre les pertes et les expositions individuelles. Sur un horizon donné
(un an dans la plupart des modèles), toutes les variables qui
conditionnent le montant des pertes peuvent varier. C'est le cas, par exemple,
de l'exposition en cas de défaut (EAD) si le crédit
considéré est couvert par un titre obligataire dont la valeur de
marché fluctue en raison de l'évolution des taux
d'intérêt. C'est aussi le cas de la perte en cas de défaut
LGD si les conditions macroéconomiques affectent la capacité des
prêteurs à actionner les garanties. Mais ce qui détermine
l'incertitude ou la volatilité des pertes futures, c'est d'abord la
variabilité de la qualité de l'emprunteur. En d'autres termes, la
probabilité de défaut PD doit elle-même être
considérée comme une variable aléatoire. A l'horizon d'un
an, un emprunteur peut changer de notation ou de classe de risque. C'est
pourquoi la modélisation de la probabilité de défaut
constitue l'élément essentiel d'un modèle de risque de
crédit.
Tous les modèles d'estimation du risque de
crédit supposent que la probabilité de défaut soit soumise
à l'influence de facteurs de risque propres à chaque emprunteur
et à l'influence de facteurs communs à tous les emprunteurs. Ces
derniers sont des facteurs sectoriels, une crise dans un secteur
d'activité affecte tous les emprunteurs de ce crédit par exemple
; des facteurs de localisation géographique, une crise régionale
affecte tous les emprunteurs de cette région ; des facteurs
macroéconomiques, comme les taux d'intérêts ou le taux de
croissance du PIB. La variance de la probabilité de défaut est
donc déterminée par l'évolution de ces facteurs de risque.
À titre d'illustration, la récente récession tend à
accroître la probabilité de défaut, alors que celle-ci
diminue en période d'expansion. C'est la raison pour laquelle les
probabilités de défaut ou les transitions entre les classes de
risque ne sont pas stables dans le temps. Il est
donc nécessaire de s'appuyer sur un modèle
théorique, qui associe les changements de probabilités de
défaut aux facteurs de risque, pour reproduire la dynamique des
défauts entre classes. En somme, construire la fonction de
densité des pertes sur un portefeuille de crédit consiste
principalement à modéliser la relation entre les
événements de crédit et les facteurs de risques. Il faut
également considérer le fait que si tous les crédits
composants un portefeuille sont soumis de manière identique aux
même facteurs de risques - parce que le portefeuille est insuffisamment
diversifié - le montant des pertes effectives non attendues sera
naturellement plus important que si le portefeuille de crédits est mieux
diversifié.
1.2.2. Le risque de Marché
Le risque de marché représente le risque de
variation du prix d'une grandeur économique constatée sur un
marché, se traduisant par une perte ou comme le risque financier
dû à l'incertitude quant à la valeur future d'un
portefeuille d'avoirs ou de dettes. On distingue généralement
trois catégories de risques de marché : le risque de taux
d'intérêt, le risque de change, le risque de variation de
cours.
Le risque de taux d'intérêt
Le risque de taux d'intérêt fait courir au
à la banque l'évolution ultérieure des taux
d'intérêt. Le risque de taux recouvre deux éléments
: un risque général qui est lié à
l'évolution des taux d'intérêt et un risque
spécifique qui représente le risque lié à
l'appréciation par le marché de l'émetteur de
l'instrument. Deux principales méthodes d'évaluation peuvent
être retenues pour le risque général. La première
est fondée sur un échéancier détaillé
où les titres sont ventilés et pondérés selon leur
durée restant à courir, puis multipliés par un coefficient
qui représente la variation de taux. La deuxième méthode
se fonde sur la duration exacte de chaque titre. Les positions
pondérées font ensuite l'objet d'exigences en fonds propres. Le
risque spécifique vise à tenir compte du risque de contrepartie
lié à l'émetteur de l'instrument, qu'il faut distinguer du
risque lié à la contrepartie de la transaction. Les positions
nettes sur chaque titre sont alors affectées de pondérations qui
reflètent la qualité de l'émetteur.
Le risque de change
Le risque de change touche les créances et dettes
libellées en devises, et réside dans le risque de variation du
prix des devises par rapport à la monnaie nationale. Contrairement au
risque de taux et de cours, le calcul de la position de change ne se limite pas
au portefeuille de négociation mais englobe d'autres opérations
enregistrées au bilan ou hors bilan.
L'analyse du risque de change nécessite de
déterminer le montant des positions détenues pour chaque devise,
puis de mesurer la position de change globale par addition, en appliquant les
pondérations forfaitaires exprimant les corrélations entre
devises.
Le risque de variation de cours
Le risque de variations de cours est un risque de prix sur la
position détenue sur un actif financier déterminé. Le
risque de position sur actions résulte d'une détérioration
de la situation de l'émetteur (risque de crédit classique) ou
d'une dégradation du marché des actions. On distingue donc un
risque de contrepartie (risque spécifique) et un risque
général de marché.
Le premier type de risque étant spécifique
à chaque action, il n'y a pas de compensation possible au sein du
portefeuille. Ce risque est mesuré par l'addition des positions brutes
sur chaque ligne d'actions. Le risque général est le reflet d'un
mouvement général du marché, donc les conséquences
négatives sur une position longue peuvent s'annuler avec les
conséquences positives sur les positions courtes. Ce risque est donc
calculé à partir de la somme algébrique des positions
nettes après compensation des positions. Le risque de position sur
actions est alors obtenu par l'agrégation de la somme des positions
brutes et nettes, affectées d'un coefficient forfaitaire. Ces risques
sont particulièrement difficiles à apprécier de
manière externe pour deux raisons principales : Contrairement au risque
crédit, la prise de risque et sa concrétisation dans les comptes
peuvent être extrêmement rapides, rendant vite obsolète les
analyses réalisées à une date donnée. Ces risques
ne sont pas toujours facilement identifiables par un observateur externe car
les informations publiées sont souvent rares et presque toujours
incomplètes. De plus, l'enregistrement comptable de la majorité
de ces opérations, le plus souvent en hors bilan, se prête
difficilement à une interprétation en termes de risques.
1.2.3. Le risque opérationnel
Ce risque vient des pertes directes ou indirectes pouvant
résulter de carences ou de défaillances attribuables à des
procédures, à des personnels, à des systèmes
internes où à des événements extérieurs.
Cette définition inclut le risque juridique, mais ne comprend pas
expressément les risques stratégiques et le risque de
réputation, ces risques étant encore mal
appréhendés. Les banques peuvent recourir à trois
approches, que nous exposerons plus loin, pour évaluer le risque
opérationnel : l'approche indicateurs de base (Basic : BL), l'approche
standardisée (standardized apprach : SA) et l'approche en mesures
avancées (Advanced measurement approch : AMA).
Le risque opérationnel est traité, à
juste titre, comme un risque profondément différent du risque de
marché ou de crédit. De fait, ce risque a la particularité
d'être plus difficile à modéliser mais plus simple à
réduire. Plus simple à réduire car un processus de gestion
adéquat, amélioré en permanence, peut contribuer à
le diminuer en réduisant les facteurs internes de risque. Plus difficile
à modéliser car l'historique des pertes de la banque en la
matière ne peut suffire à prévoir les pertes futures. Ceci
est principalement dû à deux phénomènes. Le premier
vient de la rareté des événements
considérés. Ceci nécessite la mutualisation des bases de
données. La perte de 5 milliards d'euros par un trader de la
société générale, est à cet égard
emblématique. Le second phénomène vient de ce que
certaines pertes se raréfieront du fait de l'amélioration des
processus internes de gestion du risque alors que d'autres seront
affectées par des changements d'ampleur ou d'environnement des
différentes activités de la banque.
Ce risque est très complexe. Il convient
d'intégrer harmonieusement le passé, le présent et le
futur. Le passé permet d'observer les défaillances et de
modéliser en partie le risque. Mais il doit être
complété de scénarios d'experts qui anticipent les risques
futurs. Certains risques apparaissent au fil du temps ou s'accroissent en
raison de l'instabilité de l'environnement bancaire. Le risque ainsi
évalué doit être corrigé. Les risques sont
proportionnés à certains indicateurs dont il est possible
d'anticiper les évolutions futures. De plus, une amélioration du
système de contrôle interne peut affecter ce risque. La
détermination du Capital réglementaire, comme nous le verrons,
peut tenir compte de tous ces facteurs.
2. Contexte réglementaire
2.1. Réglementation prudentielle Bale II - La
mesure des fonds propres
Les banques, même les plus grandes, ne sont pas à
l'abri du risque de faillite. De 1976 à 1996, dix défaillances
bancaires ont coûtés aux pays développés 4% de leur
produit national brut. Durant cette même période, 59
défaillances bancaires ont coûtés 250 milliards de dollars
au pays en voie de développement. EN septembre 1998, après la
débâcle du fonds LCTM, les 14 plus grandes banques d'affaires au
monde ont été contraintes de fournir 3,5 milliards de dollars
à ce fonds d'investissement pour éviter une série de
faillite qu'aurait entraîné sa défaillance. La crise de
2008 est née d'une débâcle bancaire sans
précédent depuis 1929, qui a nécessité ne
intervention massive des pouvoirs publics.
Pour limiter leurs risques de faillite, sauvegarder les
intérêts des déposants, et garantir la stabilité du
système bancaire, les banques ont été depuis fort
longtemps soumises à diverses réglementations prudentielles qui
reposent sur plusieurs mécanismes, dont le principal consiste
généralement à leur imposer des fonds propres minimaux. En
1974, la faillite de la banque privée Herstatt ayant
entraîné des pertes considérables pour des milliers de
déposants, les pays du G10 élargi ont crée le
comité de Bâle. Ce dernier à pour mission d'émettre
des recommandations relatives aux pratiques bancaires. C'est ainsi que le
comité a instauré en 1988 un ratio de solvabilité, dit
ratio Cooke, qui exige que les fonds propres des banques augmentent avec le
risque de crédit auquel elles sont exposées. La
réglementation de 1988 présente toutefois deux faiblesses
majeures. La première vient de ce que seuls les risques de crédit
sont pris en compte, aucune exigence de fonds propres étant
exigée pour couvrir les risques de marché. La seconde vient de ce
que les capitaux propres minimaux sont déterminés par la nature
des emprunteurs, et non pas par leurs risques de défauts effectifs.
Publiée en 1996, la directive européenne sur
l'adéquation des fonds propres (Capital Adequacy Directive - CAD), qui
s'appuie sur les propositions de comité de Bâle, a
remédié à la première faiblesse. Elle impose en
effet aux banques de l'Union Européenne, un niveau minimal de fonds
propres qui tient compte à la fois des risques de crédit et des
risques de marchés auxquels elles sont soumises. Le risque de
défaut effectif des emprunteurs reste largement ignoré, seul leur
statut est pris en compte. Cette limite a conduit le comité de
Bâle à proposer dès janvier 2001 un nouveau ratio de
solvabilité, dit ratio Mc Donough, prenant en compte un nouveau risque,
le risque opérationnel. Après cinq ans de travaux, trois versions
mises en consultation auprès de la communauté bancaire
internationale et plusieurs études pour mesurer l'impact que leurs
décisions pourraient avoir sur les fonds propres réglementaires
des banques, les membres du comité de Bâle ont approuvé une
nouvelle réglementation en juin 2004 dite
réglementation Bâle II. Le Japon l'a mise en
oeuvre dès 2007. Les pays de l'union européenne l'ont
imposé en 2008. Elle sera applicable au Etats unis au cours de 2009.
Quatre-vingt-deux pays non-membres du comité de Bâle devraient
imposer ce dispositif réglementaire dès 2009 et au-delà.
La crise de 2008 va très probablement bouleverser ce calendrier, des
réformes importantes de la gouvernance bancaire étant
attendues.
L'objectif de Bâle II est de réduire les risques
de défaillances bancaires non seulement en imposant aux banques de
nouvelles exigences en matière de fonds propres (pilier 1), mais
également en élargissant les attributions du superviseur national
en matière de contrôle des activités bancaires (pilier 2)
et en exigeant une plus grande transparence en matière de communication
financière (pilier 3).
2.2. Le rôle des fonds propres dans la
prévention des faillites bancaires
Les réglementations prudentielles imposant aux banques
la détention de capitaux propres minimaux reposent sur l'idée que
la banque est en situation de faillite si elle n'est définitivement plus
en mesure de faire face à ses engagements notamment parce que,
préférant exercer leur clause de responsabilité
limitée, les actionnaires refusent de lui apporter les fonds
nécessaires à la poursuite des ses activités. Les
actionnaires estiment alors que la totalité des encaissements que les
actifs sont susceptibles de produire ne permet pas de couvrir la
totalité des décaissements associés aux passifs. Il n'est
pas rare que les flux attendus des actifs soient insuffisants pour couvrir les
engagements de la banque sur un horizon déterminé. Celle-ci
trouve alors généralement les moyens de financer cette
insuffisance de liquidité ponctuelle sur le marché interbancaire.
Si ses besoins sont durables, elle émet des titres de dettes ou des
actions nouvelles. La faillite est proche lorsque ces titres ne trouvent pas
d'acquéreurs.
Sur le plan formel, se sont les actionnaires qui, en refusant
tout financement nouveau, jugent que la faillite est avérée parce
que toute la séquence des flux attendus des actifs n'est pas en mesure
de couvrir la totalité des séquences des flux de passifs. Une
séquence de flux pouvant s'échanger contre la valeur actuelle, il
y a faillite si la valeur actuelle des flux produits pas les actifs est
inférieure à la valeur actuelle des flux associés aux
passifs. La valeur actuelle des flux d'un actif représentant la valeur
de cet actif, il y a donc faillite si la valeur des actifs de la banque est
inférieure à la valeur de ses passifs. Les capitaux propres
économiques correspondent à la différence entre la valeur
des actifs et la valeur des passifs, il y a faillite dès que ceux-ci
sont négatifs. Dans ce contexte, le ratio de solvabilité de la
réglementation Bale II constitue un indicateur de la probabilité
de faillite.
L'analyse qui précède suggère que les
autorités de surveillance doivent suivre attentivement les fonds propres
économiques des banques. Ceci serait relativement aisé si tous
les actifs et tous les passifs des banques étaient côtés
sur des marchés actifs. Ces autorités disposeraient ainsi en
permanence d'une estimation fiable et gratuite, pour autant que les
marchés concernés soit efficients, de la valeur des actifs et des
passifs bancaires. Dans ce contexte, une comptabilité en valeur de
marché produirait une mesure sans biais des fonds propres
économiques. La pluparts des actifs et des passifs n'étant pas
côtés sur des marchés, il convient de les valoriser par
d'autres moyens. Le processus de valorisation mis en oeuvre est long et
couteux. Il ne permet pas une estimation continue de la valeur des capitaux
propres économiques. La comptabilité produisant un état
certifié des actifs et des passifs des banques, au moins une fois par
an, c'est sur cet état que s'appuie la réglementation
prudentielle. Constatant la valeur des actifs et des passifs de la banque, et
par conséquent la valeur de ses fonds propres économiques,
à une date donnée, il convient de garantir que la valeur des
actifs ne deviendra pas inférieure à la valeur des passifs pour
un niveau de probabilité donné d'ici à la date où
il sera possible de céder ces actifs.
C'est la philosophie qui préside aux dispositions du
pilier 1 de la réglementation Bâle II, notamment celles relatives
aux notations en mesures avancées du risque crédit, aux mesures
avancées du risque de marché et aux modèles internes du
risque opérationnel. Il s'agit à chaque fois de déterminer
la perte maximale, et par conséquent la baisse du capital
économique, que la banque risque de supporter sur un horizon
donné avec une probabilité donnée. L'horizon dépend
de l'échéance à laquelle la banque peut céder
l'actif et le risque qui lui est attaché. Cet horizon
s'élève à un an pour le portefeuille bancaire du fait de
sa liquidité. Il s'élève le plus souvent à 10 jours
pour le portefeuille de négociation dont les positions peuvent
être dénouées rapidement. Le seuil varie en fonction du
risque considéré. Il s'élève à 99% pour les
risques de crédit et marché, à 99,9% pour le risque
opérationnel.
Cette brève analyse du rôle des fonds propres
dans la prévention des faillites bancaires suggère deux
commentaires.
Le premier concerne les modalités de valorisation des
capitaux propres économiques des banques et, par conséquent, les
modalités de valorisation de leurs actifs et de leurs passifs. Il s'agit
de garantir que la valeur des actifs restera supérieure à la
valeur des passifs sur un horizon donné. Ces valeurs devant
refléter la valeur actuelle des flux associés aux actifs et
passifs, c'est de la valeur marchande dont il s'agit. Puisque que la
réglementation prudentielle s'appuie sur la mesure comptable des
capitaux propres pour déterminer si la banque est suffisamment
capitalisée pour supporter les risques inhérents à ses
activités, il est souhaitable que les fonds propres comptables et les
fonds propres économiques coïncident. Il est donc
préférable que les actifs et passifs de la banque soient, pour
autant que cela est possible,
comptabilisés à leur valeur marchande ou
à leur juste valeur, pour reprendre la terminologie propres aux normes
comptables internationales. En ce sens, le régulateur devrait être
un ardant partisan des comptabilités en juste valeur.
Le second commentaire concerne le niveau de fonds propres
découlant des dispositions réglementaires. Un moyen simple de
réduire considérablement le risque des déposants et le
risque systémique consisterait à contraindre les banques à
n'être financée que par les fonds propres. Sur le plan
théorique, dans un monde aussi idéal que celui dans lequel
Modigliani et Miller (1958 - le coût de capital) situe leur
démonstration, une telle décision n'est pas aberrante. Le niveau
de fonds propre est alors sans effet sur la valeur de la firme. Dans un
contexte plus réaliste, il convient de prendre en compte les nombreux
facteurs qui influencent la structure financière des banques :
l'impôt, le risque de défaillance, les asymétries
informationnelles, les coûts de transaction...
La littérature propose plusieurs modèles visant
à définir un niveau optimal de fonds propres en intégrant
certains facteurs mentionnés précédemment. La
réglementation prudentielle des fonds propres ignore leur
préconisation. Elle ne vise qu'à protéger les
créanciers de la banque, les déposants ou prêteur contre le
risque de faillite. Elle impose à ce titre un niveau de fonds propres
susceptible de s'écarter sensiblement de l'optimum qui pourrait
résulter de la prise en compte des ces facteurs.
2.3. Pilier 1 - Exigences quantitatives : règles
sur les fonds propres, provisions, risques
Le pilier 1 de la réglementation Bâle II impose
aux banques des capitaux propres minimaux qui tiennent compte à la fois
de leur exposition au risque de crédit, au risque de marché et de
leur exposition au risque opérationnel. Le risque de crédit
correspond au risque de défaillance du débiteur. C'est la forme
de risque la plus ancienne sur des transactions financières. Il s'agit
aujourd'hui encore de la principale source de risque dans la plupart des
banques. Le risque de marché correspond au risque de perte
résultant de transactions d'instruments financiers suite à des
variations de prix, de cours ou de taux. Ce risque concerne aussi bien les
produits de taux d'intérêts (obligations, dérivés de
taux), que les actions, les devises ou les matières premières. Le
risque opérationnel concerne les pertes directes ou indirectes
susceptibles de résulter d'une défaillance des procédures,
des personnels ou des systèmes internes des banques. Pour chacun de ces
risques, les établissements ont le choix entre différentes
méthodes.
2.4. Pilier 2 : le rôle du superviseur
Le second pilier définit les modalités de
contrôle des banques que les superviseurs nationaux, tels la commission
bancaire en France ou la Commission fédérale des banques en
Suisse, doivent mettre en oeuvre. Il reconnaît à chaque
autorité de contrôle nationale le droit d'imposer des exigences en
fonds propres supérieurs à celles prévues par le premier
pilier si un établissement est source d'incertitudes spécifiques.
Le montant des fonds propres additionnels exigés pour couvrir ces
risques spécifiques résulte alors d'une négociation entre
l'autorité de tutelle et la banque concernée. Ce pilier
responsabilise en outre très fortement les directions
générales des banques en considérant qu'elles doivent
directement maîtriser les procédure de calcul et de contrôle
des risques mises en oeuvre. Le pilier 2 influence aussi l'organisation de la
banque en imposant une séparation nette entre les services
opérationnels et les organes de contrôle, d'audit ou
d'évaluation des risques.
La réglementation Bâle II offre de réelles
latitudes aux banques pour ce qui concerne la détermination du niveau de
fonds propres. Elles peuvent fixer elles-mêmes ce niveau à partir
de leurs systèmes de mesure des risques. Dans ce contexte, le
deuxième pilier de l'accord Bâle vise à accroître
l'intensité des contrôles exercés par le superviseur
national. En vertu des principes édictés dans ce pilier, celui-ci
a pour mission d'apprécier à la fois les processus
d'évaluation des fonds propres réglementaires et
l'adéquation des fonds propres disponibles. Ce pilier doit en fait
encourager les banques à constamment démontrer au
régulateur qu'elles sont suffisamment capitalisées et qu'elles
ont mis en place des systèmes robustes de mesure et de gestion de leurs
risques.
À cette fin, quatre principes sont édictés
:
Les banques apprécient elles-mêmes le montant des
fonds propres qui leur sont nécessaires. Elles doivent prendre les
mesures qui s'imposent si leurs fonds propres effectifs s'avèrent
inférieurs à leurs fonds propres réglementairement
exigés. Les règles et les principes de gestion et de mesure des
risques et les procédures de contrôle interne mises en oeuvre
relèvent de la responsabilité de leur direction
générale.
Les superviseurs nationaux doivent réviser les processus
d'adéquation des fonds
propres de chaque banque et, en ca se lacune, prendre les mesures
appropriées.
Les superviseurs nationaux peuvent imposer aux banques les
actions préventives qu'ils jugent utiles. La nature de ces actions n'est
toutefois pas précisée dans la réglementation, celle-ci
étant par nécessité définies au cas pas cas, en
fonction de la situation rencontrée.
Les superviseurs nationaux doivent intervenir graduellement en
fonction des risques perçus. Si les processus et stratégies
internes révèles des lacunes, ils peuvent intensifier leur
surveillance. Si la situation se dégrade, ils peuvent exiger le
remplacement de ses dirigeants. Ils peuvent aussi imposer des fonds propres
supérieurs à ceux qui découlent de l'application des
contraintes réglementaires.
Pour bien apprécier la philosophie de la
réglementation Bâle II, il est important de souligner que le plier
2 considère qu'il n'y a pas d'approche unique pour apprécier
l'adéquation des fonds propres. En ce sens, même s'ils peuvent
utilement aider la banque à déterminer les capitaux qui lui sont
nécessaires, l'usage de modèles économiques n'est pas pour
autant exigé. Les superviseurs nationaux n'ont d'ailleurs pas
d'obligation d'instaurer des processus d'agrément de tels
modèles. La réglementation insiste au contraire sur le fait que
les approches retenues peuvent varier d'une banque à l'autre, leur
sophistication devant essentiellement dépendre de l'étendue et de
la complexité de leurs activités. Une estimation complète
de tous les risques est toutefois exigée, ceux-ci devant
systématiquement être tous pris en compte dans la
détermination des fonds propres nécessaires. S'il est admis que
tous ces risques ne peuvent pas être mesurés avec
précision, un processus ad hoc doit néanmoins permettre de les
estimer. Ce sont évidemment les grandes banques qui doivent disposer des
méthodologies les plus sophistiquées en la matière.
S'agissant du risque de crédit, elles doivent disposer d'approches
rigoureuses et structurées qui couvrent au moins quatre domaines : les
systèmes de notation des risques, l'analyse des portefeuilles de
produits dérivés de crédits complexes ou titrisés,
les principales expositions et concentration des risques.
Le pilier 2 rappelle que le conseil d'administration et la
direction générale de la banque sont directement responsables des
processus mis en oeuvre pour satisfaire les exigences de la
réglementation Bâle II. Le conseil d'administration fixe les
objectifs et les limites en matière de risque. Il s'assure que la
direction dispose de systèmes de mesure adéquats des
différents risques auxquels la banque est exposée. Il s'assure
aussi qu'elle dispose d'un système mettant en relation l'étendue
de ces risques et le niveau de ses fonds propres. Il s'assure de la
qualité du système de reporting mis en place. Celui-ci doit en
permanence rendre compte de l'exposition aux risques et de la façon dont
une modification du profil de risque pourrait affecter
les besoins en fonds propres. La banque doit évaluer
périodiquement la qualité de ses procédures dans la mesure
où ce sont elles qui garantissent l'intégrité et
l'exactitude des systèmes de mesure, de gestion des risques et
d'adéquation des fonds propres.
2.5. Le pilier 3 : la communication
financière
Le troisième pilier repose sur le renforcement de la
communication financière afin de favoriser la transparence et de
permettre aux marchés de mieux apprécier les risques et la
gestion de ces derniers par les établissements. Il impose à cette
fin plusieurs exigences en matières de communication financière,
l'information divulguée devant être complète,
standardisée et facilement disponible. Les objectifs du pilier 3 sont en
ce sens très voisins des ceux de la norme comptable IFRS 7 qui impose
des contraintes fortes en matière de divulgation relatives aux
instruments et risques financiers.
Pour se conformer aux prescriptions du pilier 3 de la
réglementation Bâle II. Les banques sont tenues de publier des
informations précises sur la mesure de la gestion de leurs risques ainsi
que sur l'adéquation de leurs fonds propres. Tout établissement
financier doit ainsi divulguer le niveau et les constituants de son ratio de
solvabilité. Cette information porte à la fois sur le
numérateur et le dénominateur du ratio. Pour ce qui concerne le
numérateur, la banque doit indiquer le montant de chacun des composants
de ses fonds propres de base et de ses fonds propres complémentaires.
Elle doit notamment préciser les déductions apportées
à ces fonds propres, le montant des emprunts subordonnés et des
bénéfices nets du portefeuille de négociation pris en
compte dans la détermination des fonds propres complémentaires.
Elle doit en outre explique sa politique de en matière de provisions
enregistrées et décrire sa politique de constitution de
réserves. Pour ce qui concerne le dénominateur du ratio, elle
doit décrire et évaluer son exposition aux différents
risques. Elle doit expliquer les modalités de mesure de ces expositions
et ses politiques et pratiques en matière de gestion de risques. Une
présentation de ses activités métier par métier
doit permettre aux investisseurs de mieux comprendre le profil de risque et les
procédures de contrôle interne.
3. De la nécessité de maîtriser le
risque opérationnel 3.1. Le risque opérationnel :
définition et enjeux
Le comité de Bâle exige des banques une mesure et
une couverture de leurs risques opérationnels aussi fiables que celles
de leurs risques de crédit et de marché, par le
développement de meilleurs pratiques et la mise en place d'une exigence
de fonds propres.
Selon les recommandations de Bâle II, la notion de
« Gestion du risque opérationnel » est en rapport avec le
calcul des fonds propres réglementaires. A l'évaluation des
risques de marché et de crédit, utilisés par le ratio
Cooke pour la détermination des fonds propres obligatoires, le ratio Mc
Donough (président du Comité) ajoute le risque
opérationnel, pour lequel il faut prévoir une charge en capital
spécifique (% en fonds propres). La définition du comité
de Bâle précise que ce sont « les risques de pertes
directes ou indirectes résultant d'une inadéquation ou d'une
défaillance attribuables aux procédures, au facteur humain, au
systèmes ou à des causes extérieures ».
Les régulateurs veulent que les établissements
bancaires prennent en compte cette notion de risque opérationnel : un
établissement pourrait en effet être défaillant pour des
raisons non liées au risque de marché ou au risque de
crédit. Chaque établissement devra donc communiquer sur ses
profils et ses dispositifs de maîtrise du risque, comme nous avons pu le
voir précédemment dans une partie consacrée aux
contraintes réglementaires.
Pour une banque, il s'agit de minimiser le capital risque
réglementaire en identifiant, maîtrisant et contrôlant le
risque opérationnel pour les petites pertes fréquentes et pas
seulement pour les grosses pertes potentiels. L'objectif est donc de recenser
les évènements liés à des pertes réelles ou
potentielles, internes ou externes, qui créent des incidents avec des
impacts légers ou des fréquences importantes. La courbe de
probabilité qui permet de calculer le capital économique aura
alors un nuage de points mieux répartis autour de la moyenne que celle
basée sur une estimation forfaitaire à partir des incidents
extériorisé, généralement important. Par
conséquent, une méthode fine de mesure et de maîtrise du
risque opérationnel devrait normalement aboutir à une
économie en fonds propres par rapport à une approche de type
forfaitaire. Mais tout d'abord, observons, sous forme de schémas, quels
sont les différents types d'événements de pertes
recensés par le comité de Bâle ainsi que les 8 lignes
d'activités du risque opérationnel.
3.2. Mapping des 8 lignes d'activité du risque
opérationnel
Le mapping du risque opérationnel nécessite de
classifier la perte enregistrée suivant une nomenclature. La perte
considérée est affectée à une ligne
d'activité de la banque dans une codification réglementaire. Cela
permettra de constituer, nous le verrons plus tard, un historique des pertes
(sous forme de matrice) par type de perte et ligne d'activité.
Niveau 1
|
Niveau 2
|
Activités
|
Financement des entreprises
|
Financement des entreprises (Corporate finance)
|
Fusions acquisitions, engagements, privatisations, titrisations,
recherche, titres de dette, actions, prêts consortiaux, introduction
en bourse, placement sur le marché secondaire
|
Financement des collectivités locales / administrations
(Government finance)
|
Banque d'affaires (Merchant Banking)
|
Service conseil (Advisory services)
|
Négociation et vente
|
Ventes
|
Valeur à revenu fixe, actions,
change, matières premières, crédit
financement, titres sur positions propres, prêts et pensions, courtage,
titre sur dette, courtage de premier rang
|
Tenue de marché (Market making)
|
Positions pour compte propres (Proprietary positions)
|
Trésorerie
|
Banque de détail
|
Banque de détail
|
Prêts et dépôts, services bancaires, fiducie,
gestion de patrimoine, conseil en placement, cartes
commerçants/commerciales, cartes d'entreprises/de clientèle
|
Banque privée (private banking)
|
Cartes (card services)
|
Banque commerciale
|
Banque commerciale
|
Financement de projets, immobilier, exportations, commerce,
crédit bail, prêt, garanties, lettres de changes
|
Paiements et règlements
|
Clientèle extérieure
|
Paiements et recouvrements, transferts de fonds, compensation et
règlements
|
Fonction d'agent
|
Conservation (Custody)
|
Dépôts, certificats, prêts de titre,
opérations de sociétés
Agents émetteurs et payeurs
|
Prestation d'agent aux entreprises (Corporate agency)
|
Service fiducie aux entreprises (Corporate Trust)
|
Gestion d'actifs
|
Gestion de portefeuille
discrétionnaire
(Discretionary fund management)
|
Gestion centralisée, séparée, de
détail, institutionnelle, fermée, ouverte, capital
investissement
|
Gestion de portefeuille non discrétionnaire (Non
-Discretionary Fund Management)
|
Courtage
|
Courtage de détail
|
Exécution et service complet
|
3.3. Mapping des pertes opérationnelles
Catégorie
|
Définition
|
Sous-catégorie
|
Exemples
|
Fraude interne
|
Pertes dues à des actes de fraudes de
détournement de règlement de loi ou de politique interne
qui implique au moins un acteur interne
|
Activité non autorisée
|
Transaction non notifiée (volontaire), mauvais
enregistrement de position (volontaire)
|
Vol et Fraude
|
Fraude au crédit ou au dépôt, extorsion,
vol, détournement d'actifs, destructions d'actifs, contrefaçon,
évasion fiscale, pots de vins, délit d'initié
|
Fraude externe
|
Pertes dues à des actes de fraudes de
détournement de règlement de loi par une partie tierce
|
Vol et fraude
|
Vol, contrefaçon, falsification de chèques
|
Sécurité des systèmes
|
Dommages dus au piratage, vol d'informations
|
Pratique en matière d'emploi et
de sécurité sur site
|
Pertes dues à gestion des ressources humaines, la
santé
|
Relations de travail
|
Rémunérations, avantages, résiliation de
contrats
|
Sécurité de travail
|
Hygiène et sécurité, responsabilité
civile
|
Discrimination
|
Tout type de discrimination
|
Clients, produits, pratiques commerciales
|
Pertes dues à des négligences à
des obligations envers des clients ou à des
produits défectueux.
|
Conformité, diffusion d'informations
|
Violation de contrats, conformité d'informations,
violation de confidentialité, vente agressive, utilisation
abusive de données privées,
responsabilité du prêteur
|
Pratiques commerciale incorrectes
|
Législation anti-trust, manipulation de marché,
délit d'initié, activité sans
agrément,
blanchiment d'argent
|
Défaut de produit
|
Vice de production, erreur spécification
|
Sélection exposition
|
Erreurs de sélection, dépassement des limites
d'exposition
|
Service conseil
|
Conflit sur les performances d'activité de conseil
|
Dommage aux actifs corporels
|
Pertes dues à des catastrophes naturelles
ou autres événements
|
Catastrophes et autres causes
|
Pertes sur catastrophes naturelles
Autres pertes (terrorisme
vandalisme)
|
Interruption d'activité
|
Perte dues à des interruptions d'activité
|
Système
|
Matériel, logiciel, télécommunications
|
Exécutions, livraison et gestion
|
Pertes dues à des erreurs dans la gestion ou
les relations avec les contreparties commerciales et fournisseurs
|
Saisie, exécution et suivi
|
Problème de communication,
erreur de saisie, suivi ou chargement, non respect de
délai,
erreur de
manipulation du système, erreur comptable, erreur de
livraison, erreur de gestion des suretés, mauvais suivi des
références
|
Gestion, reporting
|
Manque à l'obligation de notification,
rapport externe
erroné
|
Documentation clientèle
|
Manque de documents juridiques
|
Gestion des comptes clients
|
Accès sans autorisation aux comptes, enregistrement
incorrect, dommage sur des actifs clients
|
Contreparties commerciales
|
Fautes d'une contrepartie, conflit
|
Fournisseurs
|
Sous-traitance, conflit avec les fournisseurs
|
4. La mesure du risque opérationnel dans les
activités bancaires 4.1. Le capital réglementaire pour le risque
opérationnel
Le texte réglementaire précise qu'«
Étant donné l'évolution constante des méthodologies
d'analyse du risque opérationnel, le Comité ne précise ni
l'approche ni les hypothèses quant aux distributions de
probabilités utilisées pour modéliser la mesure du risque
opérationnel aux fins du calcul des fonds propres réglementaires.
Une banque doit cependant être à même de démontrer
que son approche prend en compte les événements exceptionnels
générateurs de pertes potentiellement sévères.
Quelle que soit l'approche retenue, un établissement doit faire la
preuve que sa mesure du risque opérationnel répond à un
critère de fiabilité comparable à celui de l'approche
notation interne pour le risque de crédit (correspondant à une
période de détention d'un an et à un intervalle de
confiance à 99,9%) »
Bâle II propose trois approches pour déterminer
les capitaux propres qu'il convient de mobiliser pour couvrir le risque
opérationnel : l'approche des indicateurs de base, l'approche
standardisée et l'approche avancée. L'approche retenue peut
varier selon l'activité bancaire considérée. L'approche en
mesures avancée peut être adoptée pour certaines
activités, l'approche « indicateur de base » ou «
l'approche standardisée » peuvent être retenues pour
d'autres. Le recours à l'approche standardisée ou à
l'approche en mesure avancée est toutefois irrévocable, des
critères d'éligibilité sont d'ailleurs requis pour pouvoir
les appliquer. Tant que les bases de données interbancaires ne seront
pas plus nombreuses, les risques opérationnels seront difficiles
à quantifier pour des événements rares et les approches
les plus sophistiquées pourront difficilement être mise en oeuvre.
Le fait que l'approche en mesure avancée conduise le plus souvent
à un capital réglementaire inférieur à celui
déterminé par les autres méthodes devrait inciter les
banques à l'adopter rapidement (l'AMA).
4.2. L'approche indicateur de base
L'approche indicateur de base est applicable à toute
banque. Il n'y a aucune condition particulière à remplir en
matière de normes de gestion, hormis les recommandations figurant dans
les « Sound Pratices for the management and supervision of Operational
Rask » (2003). Simple à mettre en oeuvre, cette approche
nécessite souvent la plus forte mobilisation en fonds propres. Les
exigences de fonds propres sont déterminées en appliquant un
facteur spécifique
au produit annuel brut moyen estimé des trois
années précédentes. L'exigence en fonds propre est
exprimée ainsi :
Où KIB représente l'exigence en fonds propres
selon l'approche indicateur de base, PBj est le produit brut annuel de
l'année j, n est le nombre d'années permis les 3 dernières
pour lesquelles le produit brut annuel fur positif. a vaut 15%. Le produit brut
bancaire considéré ne comprend aucun résultat
extraordinaire, aucun revenu d'assurance, aucune provision et aucune plus ou
moins-value de cession du portefeuille bancaire.
4.3. L'approche standard
Dans l'approche standard, l'approche précédente
est appliquée à chacun des 8 centres de profits de la banque.
L'approche standard est applicable sous conditions particulières
définies dans le document « International Convergence of capital
Measurements and Capital Standards »(2004). Les activités
caractérisant les centres de profits sont définies par les
régulateurs nationaux. Le produit brut bancaire moyen sur les trois
dernières années de chaque centre i, PBi, est censé
être étroitement corrélé aux risques
opérationnels. Les fonds propres qu'il faut mobiliser pour couvrir les
risques de chaque centre sont obtenus en appliquant un coefficient ßi, au
produit brut bancaire de chaque activité.
Ktsa =
|
? max[(? PBij × âi
! ~ ) , 0
~
~
|
3
|
Ktsa mesure l'exigence de fonds propres selon l'approche
standard, PBij est le produit annuel brut de l'activité i pour
l'année j, ßi est un pourcentage fixe (voir tableau
ci-après), représentant la relation entre le niveau de fonds
propres requis et le produit brut de chacune des huit lignes de
métier.
Ligne d'activité
|
Coefficient
|
Financement des entreprises
|
/31
|
=
|
18%
|
Négociation et vente
|
/32
|
=
|
18%
|
Banque de détail
|
/33
|
=
|
12%
|
Banque commerciale
|
/34
|
=
|
15%
|
Paiements et règlements
|
/35=
|
18%
|
Fonction d'agent
|
/36
|
=
|
15%
|
Gestion d'actifs
|
/37
|
=
|
12%
|
Courtage de détail
|
/38
|
=
|
12%
|
Pour réaliser cette approche, la banque doit
réaliser une approche dite « Bottum-up » des produits, des
activités, des processus, des systèmes, et des
évènements externes. Cette analyse (cartographie des risques)
doit être revue régulièrement. La banque doit analyser le
risque de faillite en étudiant les pertes peu fréquentes mais
fortes mais également celles très fréquentes et faibles.
Elle doit mettre en place des limites et gérer les cas où le
processus et contrôles internes ne sont pas suivis. Un système de
reporting doit définir les procédures en fonction des
informations contenues dans le rapport interne. Elle doit communiquer sur ce
risque à l'intérieur de la banque. Elle doit intégrer la
gestion de ce risque dans sa gestion quotidienne en créant une
incitation à la bonne gestion et utiliser des assurances si
nécessaires. Elle doit rechercher systématiquement et traquer les
risques par ligne d'activité. Elle doit avoir une documentation pour
affecter ces risques aux huit lignes d'activité définies par la
réglementation.
4.4. Les approches en mesures avancées
L'approche en mesures avancées repose sur un
système de mesure du risque opérationnel propre à chaque
banque. L'adoption de cette approche suppose que la banque soi en mesure
d'élaborer des modèles appropriés et qu'elle dispose de
statistiques fiables pour alimenter ces modèles. L'usage de ces derniers
doit impérativement être approuvé par les superviseurs
nationaux.
L'adoption de l'approche en mesure avancée
nécessite, outre le respect des conditions de l'approche
standardisée, le respect de deux exigences supplémentaires qui
portent sur le
contrôle effectif et sur la mesure des risques
opérationnels. Les exigences sont précises et visent à
vérifier que la gestion interne du risque opérationnel est
réelle et que la modélisation est fiable, prédictible et
solide. La première exigence impose la mise en place d'un dispositif de
contrôle et de gestion des risques opérationnels validé par
le service d'audit interne. La seconde impose la mise en place de
systèmes d'identification des risques opérationnels et de
recensement des données pertinentes par catégorie
d'activité. Elle exige une estimation des valeurs de EI (indicateur
d'exposition), PE (probabilité de l'événement sur un
horizon donné), et LGE (perte moyenne suite à
l'événement) basée sur un historique suffisant de pertes.
Des normes permettant la correspondance entre les métiers des
établissements et la typologie prévue par le comité de
Bâle devront être élaborées. Les banques qui
utiliseront cette approche devront estimer la charge en capital qui en
résulte l'année qui précède sa mise en place. Une
période probatoire peut être exigée par le superviseur
national. Les événements susceptibles d'entraîner des
pertes opérationnelles sont précisément
détaillés par la réglementation. Il s'agit de garantir que
la gestion interne du risque opérationnel est réelle et que les
modèles élaborées sont fiables.
Les approche éligibles sont diverses et peuvent
être basées sur : la volatilité des revenus, des
modèles paramétriques qui estiment la distribution des pertes
à partir de données de pertes et qui utilisent la méthode
de Monte-Carlo pour estimer les pertes attendues et inattendues, des
modèles basés sur les comportements, des approches causales.
Nous décrivons ici trois approches : l'approche par
tableaux de bord (scorecard approach), l'approche par mesure interne (internal
measurement approch) et l'approche LDA (loss distribution approach). L'approche
par tableau de bord utilise les causes des pertes pour prédire les
montants des pertes. Ces causes sont synthétisées en un score.
L'appreche en mesure interne (IMA) calcul le capital nécessaire en
supposant une relation entre les pertes attendues (EL) et pertes inattendues
(UL). Les pertes attendues sont alors multipliées par un facteur
d'échelle pour obtenir les pertes inattendues. L'approche LDA est plus
sophistiquée. Elle estime directement le capital nécessaire en
plusieurs étapes. La fréquence des pertes et la
sévérité de ces mêmes pertes sont estimées
séparément par deux distributions statistiques. Ces deux
distributions permettent de modéliser la distribution des pertes en
utilisant la technique de simulation de Monte-Carlo (que nous ne
détaillerons pas ici).
4.4.1. Scorecard approach
Des questionnaires d'auto-évaluations permettent de
cerner les risques et les facteurs de risques associés (Key Risk
indicateurs : KRI). Des contrôles internes sont alors mis en place pour
limiter e risque. Un référentiel de meilleures pratiques permet
de préciser un score.
Dans cette approche, le capital est déterminé au
niveau des 8 lignes de métier. Au fil du temps, ces montants sont
ajustés selon les scores calculés sur les tableaux de bord. Les
banques cherchent à améliorer le contrôle de leur
environnement de risque pour réduire aussi bien les fréquences
que les montants des pertes. Pour ce faire, elles identifient un certain nombre
d'indicateurs de risque. Mais ce n'est qu'après des tests sur une
période suffisamment longue que ces indicateurs sont validés. Ces
indicateurs de risque représentent donc indirectement l'importance du
risque opérationnel. Le montant des pertes lié au risque
opérationnel est indiqué par un score qui représente une
combinaison de ces indicateurs de risque. Le capital réglementaire ne
dépend pas uniquement de l'historique des pertes. II dépend aussi
des progrès réalisés par la banque dans la gestion de ses
risques opérationnels.
4.4.2. Mesure interne (Internal Measurement
approach)
Cette approche se base sur une hypothèse de relation
stable entre les pertes attendues (moyenne de distribution) et les pertes
inattendues (la valeur à risque de la queue de distribution). Cette
relation, si elle est linéaire, conduit à une simple
multiplication de la perte attendue par un facteur d'échelle.
Explication.
Le capital réglementaire Kij pour chaque ligne
d'activité bancaire i et type d'événement j :
Kif = yif × Elif × PEif × LGEif = yif ×
ELif
PE Probabilité de l'événement sur
un horizon donné
LGE Perte moyenne suite à
l'événement
EI Indicateur d'exposition qui capte l'activité
de la banque sur une ligne d'activité de métier
yif Facteur d'échelle entre UL et EL
Cette relation peut aussi être non linéaire, dans ce
cas, le capital est une fonction plus complexe des pertes attendues.
Selon cette approche, les pertes attendues sont
calculées généralement en estimant la fréquence et
taille des pertes pour chaque type d'événement au sien de chaque
ligne d'activité : 56 cellules sont ainsi définies. Pour chacune
d'entre elles, les données internes ainsi que les données
externes sont utilisées.
4.4.3. Approche par distribution de pertes (LDA : Loss
distribution approach)
Dans ce cadre, l'évaluation des pertes attendues (EL)
et inattendues (UL) est le travail de base fournissant l'information pour la
modélisation du risque. Cette approche nécessite 4 étapes.
Cette méthode est plus adaptée à la réalité
des risques de chaque banque que les méthodes indicateurs de base et
standard. EN effet, elle utilise les données de pertes et non les
revenus d'activités pour calculer la charge en capital nécessaire
pour assumer les risques opérationnels sous jacents aux
activités. L'approche LDA est plus sensible que celle par mesure interne
car cette dernière, en fixant le lien entre UL et EL, n'est plus soumise
à la difficulté de modéliser les événements
rares. L'approche par les tableaux de bord est préférable pour
optimiser la gestion du risque opérationnel. En effet, cette approche
identifie des indicateurs de risques qui servent à agir sur les causes
des risques sous-jacents aux activités. L'approche LDA ne fait, elle,
que calculer le capital nécessaire sans permettre d'améliorer la
gestion de ce risque. Une combinaison de l'approche par tableaux de bord et de
l'approche LDA est surement la meilleure solution pour améliorer la
gestion et le calcul du risque opérationnel.
5. Implémentation d'une stratégie de
gestion du risque opérationnel
La recherche de solutions performantes afin de mieux
maîtriser le risque opérationnel s'apparente à la
quête du Graal pour la plupart des institutions bancaires. Le risque
opérationnel a largement dépassé le cadre restreint de la
banque et concerne désormais le secteur financier dans sa
globalité. Ce changement d'échelle s'accompagne
inévitablement d'une montée en puissance des risques
opérationnels, notamment ceux liés à l'erreur humaine,
à la fraude, ou à l'environnement légal et
réglementaire. Corrélativement, la nécessité
d'adopter des mesures plus strictes de surveillance et de contrôle du
risque fait l'objet d'une attention croissante de la part des autorités
de régulation, entraînant de fait une exigence accrue
vis-à- vis des banques.
L'action simultanée de ces différentes sources
de pression devrait contraindre les banques à adopter dans les
prochaines années une stratégie globale de gestion du risque
opérationnel. Les défis à relever sont nombreux et, comme
souvent, les solutions sont loin d'être triviales. Il suffit pour s'en
convaincre de penser aux difficultés techniques posées par la
dépendance circulaire entre un modèle de mesure du risque
opérationnel et les données qui vont l'alimenter. La robustesse
du premier dépend, en effet, étroitement de la qualité des
secondes. Sans parler des nombreuses incertitudes concernant le processus de
recueil des données proprement dit. Et encore, même en
considérant la question de la mesure du risque réglée,
passer à l'étape suivante n'est pas une tâche aisée.
Implémenter une stratégie globale de gestion du risque
opérationnel exige, en effet, d'automatiser tous les processus IT, de
collecter et stocker les données, sans oublier de mettre en place un
reporting performant. Le tout devant naturellement s'intégrer dans un
ensemble structuré et cohérent.
Définir une stratégie globale de risque
opérationnel exige donc d'appréhender le problème selon
une approche intégrée. Pour ce faire, il faut rompre avec une
vision fragmentée en termes de silos fonctionnels. Il s'agit là
de l'un des défis les plus difficiles que les organisations bancaires
devront relever dans un avenir proche. Et il est peu probable que des solutions
ponctuelles résolvent le problème. D'où
l'intérêt de préciser les deux axes principaux d'une
stratégie globale de gestion du risque opérationnel :
l'intégration d'une infrastructure de support dans la banque et
augmenter la réactivité.
5.1. Intégrer une infrastructure de support dans
la banque
5.1.1. Définir l'architecture SI
Une difficulté majeure, lors de l'implémentation
d'une stratégie globale de gestion du risque opérationnel, est
d'intégrer ses différentes composantes dans un ensemble
cohérent. Il y a très peu d'applications disponibles sur le
marché qui fournissent tous ces éléments sous la forme
d'un package intégré. Il est donc essentiel de commencer par
définir une architecture qui facilite l'intégration de toutes ces
composantes. Si les aspects techniques de cette intégration sont
déterminants, il va sans dire qu'il est tout aussi important de
s'assurer que la logique d'activité de la banque entre ces
différents éléments est préservée. En
d'autres termes, il est nécessaire de déterminer comment ces
composantes devront interagir. À titre d'exemple, le system workflow de
la banque peut contenir des informations très utiles sur
l'efficacité des processus et l'application de méthodes ou
décisions. Cette information peut être utilisée à la
fois comme un indicateur de risque (par exemple, le nombre de processus non
achevés à temps par un individu ou une ligne d'activité)
ou comme une donnée explicative (par exemple, quelle était la
cause de cette défaillance ?).
Les indicateurs de risque jouent un rôle très
important à la fois au niveau de l'interprétation et de la
prévention du risque opérationnel. Ils proviennent de diverses
sources (par exemple, ressources humaines, systèmes de front-office,
etc.) au sein de la banque, et sont étalonnés sur une
période de temps déterminée en fonction de
mécanismes de déclenchement pré
spécifiés.
Le volume considérable de données en jeu et les
difficultés techniques liées à la gestion du risque
opérationnel exigent d'actionner une infrastructure de support dans la
banque. L'objectif est de faire apparaître les principaux domaines
fonctionnels que l'infrastructure de soutien doit nécessairement
intégrer pour être vraiment efficace. Outre les aspects
traditionnels de data warehousing, de reporting, et de monitoring qui sont
à considérer, le rôle de la plateforme d'intégration
(middleware) est essentiel car les données nécessaires à
la gestion du risque opérationnel proviennent souvent de sources
multiples, à la fois internes et externes. Les
spécificités de l'architecture IT de chaque institution
financière doivent bien entendu orienter les caractéristiques
futures de cette plateforme d'intégration. Cela étant, le
triptyque recueil/contrôle/surveillance des données
d'événements de perte sur l'ensemble des lignes d'activité
reste essentiel. Sur ce point, la responsabilisation des acteurs
concernés revêt une importance particulière. Les banques
s'appuient, en effet, sur une infrastructure technologique de plus en plus
sophistiquée et complexe. Elles s'exposent donc à des risques
opérationnels endogènes liés à la conception de
cette infrastructure et à son degré d'efficacité.
Il faut également prévoir un processus
d'automatisation des flux/transferts de données dans l'infrastructure de
support. Dans ce but, il est nécessaire de codifier et
d'institutionnaliser ces flux et transferts au sein d'un système
d'information, que le risk manager pourra mobiliser dans le cadre de la prise
de décision. Un tel système d'information doit être capable
de produire un état des anomalies et défaillances. Il ne fait
aucun doute que les institutions financières seront de plus en plus
incitées à divulguer, au-delà des obligations
légales, des informations concernant leurs pratiques de gestion du
risque opérationnel. L'importance des processus de flux/transferts de
données ne doit donc pas être sous-estimée.
5.1.2. Le module IDB (Incident Data Base)
La stratégie d'une banque doit se situer dans une
logique de mise en oeuvre d'un management actif du risque opérationnel.
Cette stratégie repose sur les analyses des risques opérationnels
supportés par les processus métiers. Pour prendre en compte la
demande du régulateur de s'appuyer des incidents constatés sur
mois de trois ans, la première étape a été celle de
la collecte des données historique sur une base de données (IDB :
"Incident data base").
Les quatre modules aboutissant à l'évaluation du
risque opérationnel sont les suivant :
La collecte des incidents dans une base IDB selon une
procédure commune L'évaluation du risque
L'alimentation des indicateurs clés du risque
L'analyse, le reporting, les moteurs de calcul du capital
réglementaire
Le module IDB doit permettre la collecte des données
historiques. Les modules évaluation du risque et indicateurs clés
de risques traitent des données prospectives. Ces données sont
ensuite passées à des moteurs de calcul. La question est de
mesurer les conséquences d'un incident et, pour les incidents
éligibles, d'enregistrer ses conséquences après
valorisation.
La centralisation des incidents peut utiliser 2 circuits qu'il
faut synchroniser :
Automatique à partir des bases existantes
Saisie manuelle avec validation au traves d'un outil de travail
coopératif (workflow)
5.1.3. Gestion des données
Ces dernières années, bon nombre d'institutions
bancaires ont consacré beaucoup de temps et de ressources à la
mise en oeuvre effective de procédés de stockage des
données de risque (risk data warehouses). Cependant, très peu
d'entre elles ont cherché à convertir ces données de
risque en information utilisable dans le cadre de prise de décision. Un
point clé de la gestion de l'information réside dans la
difficulté de relier de façon cohérente un ensemble de
données provenant de sources multiples, et faire en sorte qu'elles
puissent être groupées selon une structure logique et facilement
interprétable. La gestion du risque opérationnel dans une banque
est soumise aux mêmes contraintes et difficultés. Le recensement
des facteurs de risque opérationnel et l'évaluation de leur
impact sur l'activité d'une banque exigent de recueillir un ensemble de
données très vaste. Par exemple, estimer la probabilité
d'occurrence d'une déperdition d'énergie requiert
d'intégrer des données sur la fiabilité du fournisseur
d'électricité, des données sur le plan d'urgence
adopté par la banque dans cette situation, et des données
relatives aux conséquences de ce type d'incident/accident sur son
fonctionnement.
Or, il n'est pas forcément aisé de se procurer
ce type de données. Inévitablement, les banques seront
amenées à faire des arbitrages. Lorsque les données sont
difficiles ou chères à obtenir, il faut tenter de parvenir au
meilleur compromis coût/efficacité. Une approche pragmatique
devient indispensable, même si elle induit l'adoption de solutions
sous-optimales en termes de précision de la mesure du risque
opérationnel. Il est préférable pour les banques de se
concentrer sur leurs facteurs de risque principaux, et de le faire bien,
plutôt que d'essayer de les prendre tous en compte, et de finir par le
faire mal.
5.1.4. Gestion des incidents informatiques
5.1.4. 1.Causes - événements -
impacts
Il est fondamental de voir en quoi les incidents
avérés saisis dans une base IDB peuvent servir à
améliorer la gestion des risques opérationnels. La bonne gestion
du risque opérationnel suppose en effet d'avoir à la fois une
vision précise des relations « évènement causes
impacts » et une capacité d'agir sur les causes. Il faut donc se
demander si le rattachement aux nomenclatures d'évènements et de
causes définies par le régulateur, d'une part et l'organisation
du dispositif mis en place par Direction, d'autre part, offrent une
efficacité permettant de réduire les risques au quotidien.
Tant à la direction informatique que dans les
métiers et autres fonctions, des systèmes de gestion
d'incidents existent déjà et sont parfois
spécialisés selon les processus concernés. Mais c'est
à partir d`IDB, alimenté depuis 2002 avec plus ou moins de
bonheur par les entités, que la
direction des risques prépare le reporting et soumet
l'analyse des incidents saisis au comité du risque
opérationnel.
Le nombre de possibilités de rangement offertes par les
nomenclatures de Bale II pour les incidents de type informatique est
très limité, l'information sur les incidents étant
complétée la plupart du temps en texte libre, ce qui rend
difficiles les analyses a posteriori. De plus, le taux de saisie des incidents
d'origine informatique par les métiers est assez faible, y compris pour
la Direction informatique par rapport à ses propres risques.
La méthode AMA va conduire, par l'analyse des processus
et des scénarios de risques, à une nomenclature plus
précise des types d'évènements et de causes
rattachés à des rubriques standards de Bale II, mais
différentes de celles de l'IDB actuelle. Il va falloir faire converger
et mapper les nomenclatures d'évènements et de causes pour IDB et
pour AMA. Mais dans les deux cas, les nomenclatures proposées sont trop
éloignées du réel perçu sur le terrain. Il faudrait
définir des types d'évènements et de causes plus
réalistes, vraisemblablement entre 50 et 100 dans chaque cas, et les
rattacher systématiquement aux rubriques de Bale II, si l'on veut
être en mesure d'effectuer des analyses pertinentes et pas seulement de
beaux rapports pour régulateur. Les analyses réalisées
avec AMA, qui font entrer en ligne de compte les pertes non prévues,
doivent également mettre en évidence des indicateurs clés
de risques et des indicateurs de maitrise du risque qui rentreront dans les
formules de calcul du capital. Il est impératif de savoir si la base IDB
est un outil de gestion opérationnelle du risque ou un simple instrument
de reporting vers les régulateurs.
L'analyse du contenu de la base IDB et des procédures
de gestion des incidents informatiques part du constat que seuls deux
évènements et deux causes étaient proposés par Bale
II pour qualifier les incidents. Dans ce cadre, la DI doit fournir sa propre
liste d'évènements, en précisant bien que la typologie des
causes, plus difficile à établir, viendra après une
analyse en profondeur des bases d'incidents utilisées par les
équipes de production.
Dans l'état actuel des choses, on a le choix entre
plusieurs classifications des risques dans le processus DVT :
Les deux nomenclatures issues de Bale 2, différents entre
les évènements constatés (IDB) et les
évènements potentiels(AMA) ;
Le mapping de ces différentes listes est
ingérable à la main. Elles sont difficilement réductibles,
car leurs critères de classement font apparaitre de dépendances
multi évaluées. Par exemple, les risques projets liés a la
qualité des relations MOA /MOE sont croisés avec d'autres
thèmes en fonction de l'étape du projet (spécifications,
recette, mise en oeuvre). L'examen des causes
issues de la vraie vie et de l'expérience quotidienne
des chefs de projets montre que, sur quatre principales causes relevées
par les chefs de projets, la défaillance du système de
qualité apparait sur la liste du niveau 3 proposé par Bale II.
Pour compliquer l'affaire ou telle nomenclature
spécifique peux venir s'ajouter dans le paysage. Il est naturel que des
nomenclatures spécifiques soient nécessaires pour des processus
techniques ou pour des fonctions comme RH, achat, déontologie, audit,
budget.
Dans ces conditions de flous artistiques sur les nomenclatures
d'évènement et de cause, et en l'absence d'un
référenciel pour les processus communautaires, il est très
difficile pour les métiers d'intégrer les processus des fonctions
dans leur propre processus.
La typologie d'évènement définit par bale
II est très éloigné de la pratique quotidienne vécu
par les équipes. Le niveau de granularité des nomenclatures
offertes n'est pas suffisamment proche du vécu de l'utilisateur, ce qui
lui fait hésiter entre plusieurs événements possible.
Il est clair qu'il faudrait créer un niveau 4 pour
assurer l'intégration, la cohérence et la
traçabilité globale entre la gestion des incidents et la gestion
des risques. Le problème des incidents récurrents doit aussi
être résolu. La recherche des causes et leur remonté vers
les personnes qui en ont la responsabilité et les moyens de correction
constitue le noeud de l'affaire.
Plutôt que d'embrouiller les choses en laissant
l'utilisateur rechercher une autre cause approximative, il vaut mieux lui
fournir une bonne liste d`événements directement
compréhensible, et passé la main aux spécialistes du
problème pour qu'ils renseignent les vraies causes après
diagnostic et correction.
Il est fondamental que l'on puisse revenir sur les causes
après la saisie initiale de l'incident effectuée le plus souvent
par l'utilisateur du métier concerné.
Si le dispositif existant de gestion des incidents informatiques
n'est pas intégré par
l'alimentation de la base IDB :
- les reportings effectués ne sont pas cohérents,
les impacts économiques et financiers
sont peux fiables et la traçabilité globale doit
être faite à la main ;
- Les circuits d'information sont multiples entre la gestion des
incidents et la gestion du risque opérationnel.
- Les liens de rattachement dans le cas ou un incident global
crée de multiples incidents locaux ne sont pas gérés
automatiquement.
Il faut améliorer la qualité de la saisie des
incidents, renforcer les contrôles de cohérence, utiliser une
nomenclature et un vocabulaire plus exigeants qui permettent de repérer
les
doublons et les conséquences multiples d'un même
évènement, de détecter les corrélations
d'évènements, les évènements récurrents, les
propagations, les faux incidents, les alertes.
La recherche des causes n'est pas à faire par les
utilisateurs qui constatent un évènement ou en subissent les
impacts mais par les professionnels de l'informatique, seuls capables
d'apporter des actions correctives et préventives, ceci souvent
après une recherche approfondie et longue. Les équipes de
production et de support de la DI possèdent dans la plupart des cas
l'essentiel des informations, à l'exception des impacts financiers qui
sont connus des métiers. Dans tous les cas, la mise en relation entre
l'informatique et les métiers est indispensable pour que toute
l'information nécessaire à la collecte de l'incident dans IDB
soit recueillie. L'élaboration de la liste des causes demande donc qu'un
travail préalable soit effectué en liaison avec les
équipes du terrain (la production).
La faiblesse de la démarche AMA, c'est de lancer les
métiers dans leurs analyses de risques potentiels indépendamment
de l'analyse des historiques d'incidents de la base IDB. Au plan de
l'organisation, une dichotomie préjudiciable est créée
artificiellement entre la gestion des incidents et la gestion des risques
opérationnels, comme si les analyses de risques faites dans la
précipitation et l'enthousiasme du début ne devaient pas survivre
dans un mode de fonctionnement opérationnel. C'est une fuite en avant
irrationnel et opportuniste, car il sera difficile de greffer et
d'intégrer après coup le réseau d'analyses du risque
opérationnel dans les circuits d'incidents.
5.1.4.2. La confusion entre les causes et les
effets
Au delà de la gestion des incidents, la gestion du
risque opérationnel est un sujet difficile. La confusion entre les
causes (fait générateur) et les effets (évènement
perçus et impact) relève d'une incompréhension grave de la
démarche et des objectifs poursuivis par les régulateurs. Une
véritable gestion de risque ne peut se permettre d'ignorer l'importance
de la recherche des causes profondes et endémiques qui créent les
potentialités d'incidents ou leur caractère récurrent. La
transparence et la vérité sont ici les conditions
nécessaires à remplir si l'on veut progresser au delà de
la seule gestion des incidents.
La recherche des vraies causes est un comportement nettement
plus responsable et efficace qu'une simple alimentation du reporting
légal aux régulateurs. Les équipes de production doivent
avoir la volonté de travailler sur les causes endémiques des
incidents après leur analyse. Quelle est la vraie cause d'un incident
faisant suite à l'utilisation de fichiers réels pour effectuer
des tests ? On peut se rabattre sur une erreur humaine, mais de la part de qui
au premier niveau ? N'y a-t-il pas une vraie cause qui est que quelqu'un a
autorisé le travail de fichiers réels en tests ? Mais ce niveau
de détail, qui correspond à la vraie vie, ne figure pas sur la
liste de Bale II.
Deux cas de figure peuvent se présenter pour la saisie
dans les IDB :
Un seul couple : évènement-cause ;
Plusieurs incidents liés, pour lesquels se constitue une
chaine d'évènement causes-cascade.
Si par exemple, l'incident initial est une défaillance
informatique qui entraine un incident au niveau de métier, celui-ci dira
que la cause est informatique. Mais l'informatique peut détecter
après diagnostic que c'est l'utilisateur qui fait planter non seulement
sa propre application, mais celles d'autres utilisateurs en aval.
Dans tous les cas, il faut veiller à ce que tous les
interlocuteurs concernés, notamment les personnes à l'origine des
incidents liés puissent avoir accès aux données utiles, ce
qui peut poser des problèmes de confidentialité. Cela signifie
qu'ils doivent être désignés comme intervenants en tant que
validateurs d'une entité impactée ou concernée.
Dans le cas général, il est
préférable de ne saisir qu'un seul incident racine, celui qui
représente l'impact essentiel sur l'activité. Les autres
conséquences seront incluses dans la description de l' incident racine
et prises en compte dans l'évaluation de l'impact financier.
Les circuits existants en matière de gestion des
incidents informatiques jouent un rôle essentiel dans la
déclaration des incidents opérationnels, l'exhaustivité de
la collecte et la qualité des données recueillies.
5.1.5 Les outils de gestion des incidents
Les informations utiles pour le risque opérationnel
sont pour l'essentiel disponibles dans les outils existant en production. Il
faut donc étudier la possibilité d'une alimentation d'IDB la plus
automatisée possible afin de limiter les saisies. Placée sous la
juridiction forte, la base d'informations sera filtrée par les analyses
RO afin d'éliminer des incidents sans conséquences, les doublons
(incident a la fois métier et informatique ou saisi plusieurs fois), de
rajouter des impacts financiers, de repérer les incidents
récurrent. Ils définissent les valeurs des rubriques
évènements et cause éligibles au risque
opérationnel, sachant que le travail porte surtout sur les causes.
Le système d'alerte mentionne le
numéro d'incident, l'origine et le destinataire avec une fonction de
pilotage, de coordination et d'évaluation de l'incident : date, heure de
début, description, sites, date et heure de fin, observations,
numéro d'incident, résolution, gravité, cause,
état. Les incidents très graves sont coloriés en rouge.
Les tableaux de bord mensuels sont
établis en accord avec les métiers. On va des indicateurs qui
sont le nombre d'incidents par état (ouvert, réglé, clos,
information), par cause
(inconnue, application, matériel, opération,
réseau, système) par gravité et par affection de
responsabilité. Les incidents importants de production sont
diffusés chaque matin aux collaborateurs habiletés.
Les outils de pilotage et de surveillance sont
aussi des éléments de maitrise des risques opérationnels
:
- Outil pour suivre les incidents (alimentation tickets
automatique) - Suivi des incidents majeurs des métiers (alimentation
manuelle) - Outil de workflow permettant de gérer les demandes diverses
(alimentations manuelles)
- Outil de help desk
- Outil de suivi des incidents et de gestion des
problèmes
5.1.6. Les acteurs de processus : Ils sont de deux
sortes :
Les initiateurs : pilote de la production, gestionnaire de
pilotage métier, gestionnaire de pilotage de flux, gestionnaire de
pilotage. Ces personnes sont habilitées pour initier le ticket
d'incident et le suivre jusqu'à la clôture de l'incident. Ils
rattachent les incidents informatiques aux processus métier.
Les réparateurs : la production, la mise en oeuvre, pour
les études, les chefs de projets, les analystes et les agents
techniques.
Il faut identifier les KRIs suivis dans les tableaux de bord, en
étudiant les regroupements d'incidents par cause et selon la
récurrence.
Au minimum, tous les évènements remarquables et
incidents transférés à la gestion des problèmes
sont éligibles. Entre 15 et 20 % des incidents passent en mode gestion
des problèmes. Pour les autres, il convient de déterminer les
critères d'extraction sur les incidents à partir des outils
existants en production en ne retenant que ceux qui sont éligibles au
risque opérationnel. Il faut s'assurer de la traçabilité
entre la base des incidents et la base de problèmes, afin de pouvoir
rapprocher automatiquement lors des analyses de risques tous les incidents qui
se rapportent à une cause.
Ces évènements seront rangés dans la
classification des évènements et des causes avérés
incidents. Cette classification doit s'intégrer dans celle des types
d'évènements de niveau 3 de Bale II adaptée a la
cartographie des processus de la DI, qui fait le lien avec les incidents saisis
dans la base IDB. Le vocabulaire utilisé dans les définitions de
rubriques doit être le même. Un
travail d'harmonisation est à faire. Ceci permettra aux
métiers d'utiliser ce vocabulaire lors de la saisie de leurs propres
incidents métiers ou informatiques.
Il faut définir les règles de quantification des
impacts et de l'alimentation de la base IDB à partir des impacts
évalués par les métiers et le rattachement des
évènements informatiques aux évènements
métiers.
Il est rare qu'une analyse d'incident avéré en
cas d'escalade ou de passage en mode problème soit totalement
tracée en faisant l'objet d'un reporting. L'analyse du risque
opérationnel doit avoir tous les éléments permettant
d'agir sur la cause de façon à réduire le risque.
Il faut souligner les rôles importants du gestionnaire
de pilotage métier qui assure le support informatique aux métiers
en documentant les incidents et les problèmes et celui du gestionnaire
de pilotage technique qui suit l'incident jusqu'à sa clôture.
Ce dispositif étant mis en oeuvre, l'analyse du risque
opérationnel peut exploiter toutes les informations utiles contenues
dans les reportings d'incidents pour déterminer les actions correctives
et préventives et pour saisir les incidents dans la base IDB.
Pour les métiers dont la DI assure la production
informatique, des évaluations d'impacts types sont à
définir avec des exemples de forfaits applicables sur des incidents
informatiques répétitifs.
Avec les « business impact report », les reportings
d'évènements-causes-diagnostics et la classification
détaillée des évènements métiers et des
évènements informatiques, les responsables des métiers
disposent des informations pertinentes pour connaitre et chiffrer tous les
risques et agir sur les causes.
L'organisation existant en production prévoit des
acteurs et des circuits de validation dans lesquels il faut introduire les
profils risques opérationnels (analystes, correspondants) afin
d'éviter les circuits parallèles. Des aménagements sont
à prévoir dans l'organisation du dispositif de saisie des
incidents par les métiers, notamment pour les circuits à suivre
en fonction des incidents. Il faut introduire les profils de risque
opérationnel (analystes, correspondants) dans les circuits de diffusion
des informations afin qu'ils puissent faire le rapprochement entre les
incidents métiers et le incidents informatique et entre un incident
global (serveurs télécommunication, virus) et toutes ses
conséquences locales au niveau des métiers (réel
perçu).
Il faut prévoir une bonne administration de la base IDB
capable de gérer les relations avec les métiers et les fonctions
de façon multilatérale en rapprochant la déclaration de
l'incident au niveau global (cause analysée) et les d
déclarations au niveau local des métiers (réel
perçu).
5.2. Augmenter la réactivité de la
banque
Une stratégie de gestion du risque opérationnel
ne saurait se réduire à la surveillance des facteurs de risque
opérationnel, couplée à une méthode de mesure aussi
sophistiquée soit-elle. Il est impératif que la banque puisse
réagir le plus rapidement possible face à l'occurrence d'un
événement de perte, idéalement en amont même de sa
réalisation. Pour ce faire, une stratégie globale doit
s'organiser autour de quatre fonctions clés :
- La détection. Il s'agit de déceler un risque
opérationnel potentiel, quelle que soit sa nature, et de parvenir
à une alerte «juste à temps», afin de permettre la mise
en oeuvre d'actions correctrices susceptibles d'éviter la
réalisation de pertes.
- Le contrôle. L'objectif est une meilleure
maîtrise du risque opérationnel ainsi que la
hiérarchisation des facteurs de risque que la banque considère
comme critiques pour son activité.
- La couverture. C'est-à-dire développer des
techniques de couverture (mitigation) et d'allocation de ressources afin de
réduire le risque opérationnel.
- L'optimisation. Elle consiste, certes, à optimiser le
ratio risque/rentabilité, mais aussi à
insuffler une culture du risque au sein de la banque et d'initier
un processus de décision en accord avec sa stratégie.
Le Risk management exige le recueil d'information en
provenance des différentes composantes de la banque. Depuis le pilier
«détecter», la fonction «contrôle» va
recueillir de l'information concernant les situations anormales (fraude,
erreurs humaines, défaillances IT,...) qu'il faut traiter en urgence si
la banque veut éviter la réalisation de pertes dues au risque
opérationnel.
5.2.1. Vérification de l'efficacité
globale de la gestion des risques
Bien évidemment, même les procédures de
contrôle et de détection les plus performantes ne parviendront pas
à empêcher l'occurrence de pertes. Il est donc indispensable de
rassembler, à partir des autres départements de la banque, des
données sur les causes des pertes générées par le
risque opérationnel, mais aussi sur des situations de risque ayant pu
être redressées à
temps (par exemple, les quasi-incidents). Le but est tout
simplement d'être en situation de réduire le risque dans le
futur.
Une fois que les responsables de la gestion du risque et les
autres décideurs impliqués disposent de suffisamment
d'information concernant les sources de risque dans la banque, et que les
causes principales de celui-ci ont été clairement
identifiées, l'étape suivante consiste à vérifier
l'efficacité de la stratégie globale de gestion du risque
opérationnel implémentée au sein de la banque. Dans ce
but, certaines mesures doivent être mises en oeuvre. Par exemple, si des
erreurs humaines se produisent trop fréquemment, on peut envisager deux
actions simultanées. Activer des «détecteurs» et un
système de surveillance (monitoring) afin d'identifier la
possibilité d'occurrence d'une perte, et éviter ainsi sa
réalisation. Parallèlement, procéder à un
reengineering de certains processus pour simplifier les différentes
tâches.
5.2.2. Organisation du reporting
Concernant l'architecture IT, l'amélioration de la
sécurité est un point de passage obligé. Conjointement
avec les différentes fonctions IT de la banque, le risk management est
responsable de l'allocation du montant nécessaire de ressources
(humaines et financières) afin d'atteindre le niveau de
«sécurité» adéquat. Il peut s'agir, par exemple,
de l'installation de mécanismes de prévention de courts-circuits
ou de surtensions de systèmes informatiques ou autres. Par ailleurs, il
est difficile d'espérer une réduction significative du risque
opérationnel sans un reporting performant.
Généralement, on distingue le reporting interne,
destiné au management de la banque, et le reporting externe qui
s'adresse aux autorités de régulation. Ne répondant aux
mêmes objectifs, ces deux catégories requièrent des
fonctionnalités très différentes.
Le reporting externe est pour l'essentiel normatif : la banque
est dans l'obligation de fournir au régulateur des informations
spécifiques sous un format déterminé. Le reporting
interne, quant à lui, exige beaucoup plus de flexibilité pour
être véritablement efficace, et aura tout intérêt
à mêler information qualitative et quantitative.
D'autre part, les différents niveaux de
responsabilité au sein de l'organisation n'exigeront probablement pas le
même niveau de détail concernant l'information sur le risque
opérationnel. Par contre, ils seront sûrement
intéressés par la possibilité de segmenter cette
information en fonction de leur propre activité et
responsabilité. La possibilité de réaliser des analyses de
scénarios sera également déterminante à ce
niveau.
Les outils de reporting externe, destinés à
l'autorité de régulation, vont vraisemblablement perdurer sous la
forme de solutions autonomes, compte tenu de leur nature normative et de leur
capacité à servir de support au développement de logiciels
dédiés. Les outils de reporting interne se destinent plutôt
à devenir partie intégrante de solutions globales, étant
donné le besoin actuel des banques en termes d'analyses de
scénarios. Autrement dit, ils seront amenés à jouer un
rôle d'interface active entre les bases de données et les outils
d'autoévaluation. Ces derniers doivent permettre l'attribution de scores
évaluant la qualité, mais aussi et surtout, les insuffisances du
système de gestion du risque opérationnel à l'oeuvre dans
la banque.
En définitive, une stratégie globale de gestion
du risque opérationnel doit permettre à la banque de
réagir et de se rétablir dans les meilleurs délais
lorsqu'un événement de risque opérationnel survient, ce
qui réduit de fait l'impact sur sa rentabilité et son
activité clients. À ce niveau, le risk management doit travailler
en collaboration étroite avec les responsables de la continuité
de l'activité, de façon à les aider à actualiser
leur plan/planning de redressement en cas d'occurrence
d'événements de risque opérationnel. Le risk management
doit également fixer des priorités et orienter l'engagement de la
banque, tant humain que financier, dans sa stratégie globale de gestion
des risques.
5.2.3. Les tableaux de bord
Les tableaux de bord font partie d'une stratégie
globale de communication. Le tableau de bord doit être un outil de
support de communication avec la direction générale et avec les
responsables des
métiers.il constitue un excellent
moyen de faire passer des messages sur la qualité des prestations
informatiques.il permet de
dialoguer avec les clients, la hiérarchie, les organes de contrôle
et les responsables opérationnels.
L'efficacité du reporting dépend des objectifs
et des indicateurs de la qualité fixés contractuellement pour les
services rendus (exemple, interventions sous quatre heures, critères de
définition des incidents graves, périodes critiques de
l'activité). Le tableau de bord sert de fondement au suivi des relations
contractuelles. L'identification des exigences de chaque partie est
déterminante pour la définition du tableau de bord. Il faut
éviter les jugements de valeur, qui font montrer en épingle un
dysfonctionnement ponctuel touchant un utilisateur influent tandis que d'autres
dysfonctionnement chroniques seront considères comme une fatalité
par les utilisateurs. Les mystères de la technique derrière
lesquels pouvait se retrancher le fournisseur de services pour expliquer un
dysfonctionnement ne sont plus de mise. Il faut expliquer le dysfonctionnement
d'une façon objective et qui permette à chacun d'identifier sa
part de
responsabilité afin de prendre les mesures correctives
à chaud et préventives à moyen terme pour éviter la
réapparition de l'incident.
La remontée d'une insatisfaction de la clientèle
peut prendre beaucoup de temps dans les grandes structures avant de parvenir au
bon niveau hiérarchique. Si le tableau de bord ne s'intéresse
qu'aux incidents graves, il occulte des dysfonctionnements potentiels qui ont
souvent un caractère chronique avant de tourner brutalement au drame. Le
suivi non critique de l'activité s'apparente au même
phénomène. Il est rare qu'un incident grave fasse l'objet d'un
audit permettant de creuser plus profond.
D'une façon générale, l'arsenal des
tableaux de bord permet rarement une réflexion stratégique d'une
plus grande portée que le simple constat instantanée. La
réduction des risques opérationnels procède donc davantage
d'une réactivité au coup par coup plutôt que d'un suivi
permanent ou d'une anticipation. Il est primordial de faire apparaitre les
actions d'amélioration avec leur impact et les délais
d'intervention après un incident. Il est judicieux de montrer que le
suivi ne se limite pas à un simple constat de problèmes, mais
vise aussi à leur résolution et à leur prévention.
Le suivi des incidents permet de mesurer la réactivité des
prestataires. Le suivi de la qualité de service permet de s'assurer que
les termes des contrats passés entre les utilisateurs et les
fournisseurs de services sont respectés.
5.2.3.1. La qualité du tableau de bord
Pertinence des indicateurs : typologie de
libellés d'incidents. Les indicateurs ne doivent pas apparaitre comme un
moyen habile de noyer les dysfonctionnements dans la masse d'informations.
L'utilisateur doit retrouver son propre constat vécu au quotidien dans
les chiffres et les graphiques fournis. L'idéal est que les applications
incorporent dès leur conception la fourniture de leurs propres
indicateurs qui alimentent les tableaux de bord.
Définition : chaque information doit
être définie sans ambigüité. II faut un consensus sur
l'interprétation des données. L'efficacité du tableau de
bord dépend en grande partie de son adaptation au besoin de celui qui le
reçoit et a sa compréhension des problèmes. Des outils
comme la cartographie des processus et les schémas d'architecture
fonctionnel et techniques permettent a tous de se comprendre et de pouvoir
analyser un incident ;
Fiabilité : précisions,
degré de certitude et du suivi des évolutions anormales. Il faut
éviter de signaler plusieurs fois la même chose sur des noms
différents ;
Fraicheur de l'information et fréquence
: dimension temporelle, évolution visible dans le temps, alerte
par anticipation des conséquences différées mais
inéluctable d'un incident qui viens de se produire ;
Ergonomie : qualité de la
présentation de graphiques, tableaux ; lisibilité,
compréhension immédiate des évolutions, comparaison
possible par rapport à des normes acceptées. Possibilité
de descendre /remonter entre les niveaux de détails et la
synthèse.
5.2.3.2. Critique de l'existant
1. Prolifération des tableaux de bord, redondances et
difficulté à s'y retrouver face à une question
précise. Difficulté à cibler la communication en fonction
de l'interlocuteur.
2. Faiblesse des tableaux de bord de contrôle de gestion
interne (risques de gestion, qualité et productivité des
développements, surveillance de la sous-traitance).
3. Le risque informatique opérationnel n'est pas
intégré. Par exemple il est difficile d'avoir une idée sur
le niveau global de risques de la sécurité du dispositif
opérationnel. Les informations sur les incidents ne constituent pas un
échantillon représentatif de la qualité perçue par
l'utilisateur.
4. Libellés des incidents peu explicites, typologie
des causes très faible, évaluation des impacts à la
louche, aucune échelle de gravité hormis la dichotomie grave :
manque de maitrise sur la prévision des conséquences
différées et multiples d'un incident (cascades de relations
causes impacts) ;
5. Focalisation sur les incidents graves, mais peu sur les
dysfonctionnements chroniques et les incidents récurrents.
6. Peu d'audit sur les incidents graves ;
7. Peu de sanctions réelles sur le non respect des
clauses de qualité de service : suivi de la rapidité et
l'organisation du dispositif de résolution des incidents,
efficacité des mesures correctives et préventives après
l'intervention à chaud.
8. Aucune analyse des récurrences et des
réapparitions d'anomalies ; il manque un bureau de suivi de la
qualité en prise directe sur l'exploitation, effectuant les
interprétations des indicateurs et doté d'outils d'analyse
statistiques et de reporting. Aucune étude sur les chaines de causes, la
fréquence et la répartition des incidents sur une échelle
de gravité. Peu de mesures préventives résultant de la
détection de l'émergence probable d'une
détérioration.
9. Faiblesse de la communication externe : peu de feed back
sur la perception réelle de l'incident par les utilisateurs. L'incident
est surtout vu de l'exploitation, sans prise en compte des effets secondaires
perçus et de la gène globale occasionnée chez les
utilisateurs.
10. Il faut aussi s'intéresser aux dégradations
qui n'entrainent pas directement un incident, mais perturbent le bon
fonctionnement des services utilisateurs (dégradations du temps de
réponse, déni de service, mauvais fonctionnement des
imprimantes).
11. C'est seulement pour les incidents graves qu'il existe
une relation directe entre la qualification de l'incident et le franchissement
d'un indicateur défini par le contrat de service. Le suivi de la
réalisation des contrats de service passés avec les utilisateurs
doit aussi être effectué même quant il y a pas
d'incident.
12. Les enquêtes de satisfaction et de benchmarking
doivent pouvoir être rapprochés des indicateurs du tableau de
bord.
5.2.4. L'organisation du help desk
Le help desk reçoit les appels des utilisateurs, dont
un grand nombre est traité par le serveur vocal interactif. L'annuaire
d'entreprise permet d'identifier l'appelant et les personnels des
entités appelées. Le référentiel des applications
est utilisé pour trouver les responsables de codes transactions ou de
codes d'applications. La base de connaissances contient les scripts de
résolutions applicables aux problèmes déjà connus
et permets de recherches de personnes et de solutions à partir des
catégories, rubriques, objet, du code de transaction ou par mots
clé.
Un objectif qualité est par exemple que de 60 % des
incidents soient traités et clôturés à J, sachant
que 40 % des appels portent sur les applications au sens large. Les appels
fonctionnels et applicatifs sont ventilés à nouveau sur les
niveaux 2 et 3 du support. Les problèmes techniques sont transmis
directement à la Direction informatique.
Quatre processus ont été identifiés :
La gestion des incidents L'assistance aux métiers
L'assistance au poste de travail
L'assistance à l'insertion
Les procédures détaillées
décrivant l'organisation, le flux, les rôles et les
responsabilités de chacun des acteurs du processus d'assistance
métiers doivent être mises à jour. Il est vrai que la
multiplicité des acteurs et la dilution des responsabilités sur
le sujet permettent bien des dérives.
Conclusion
Quoi qu'il en soit, un risque opérationnel mal
apprécié peut entraîner des conséquences gravement
préjudiciables pour toute institution financière. Les effets de
la globalisation, de l'instabilité climatique, de la montée du
terrorisme, de la crise financière, de la multiplication des nouvelles
technologies ont provoqué un accroissement relatif du risque
opérationnel.
Une fois qu'il est spécifié dans ses grandes
lignes, un modèle de mesure, indépendamment de sa forme et de son
degré de technicité, doit impérativement s'ancrer dans un
système intégré de gestion du risque opérationnel.
Cela permet de se sentir confortable sur deux points. Au fur et à mesure
du développement du modèle de mesure, on est assuré que
les différentes hypothèses, modifications et aménagements
divers sont envisagés en cohérence avec la ligne directrice
fixée par le Risk management. Et c'est aussi une garantie que ces
ajustements successifs s'alignent sur les processus de gestion
déjà en place dans l'institution.
La réforme de Bâle II contraint les institutions
bancaires européennes à mieux comprendre, quantifier et
maîtriser le risque opérationnel. Il est clair cependant, qu'il
n'existe pas, et qu'il n'existera probablement jamais, de solution
«clés en main» face à ce type de risque. Simplement, il
est indéniable qu'en actionnant une infrastructure de support et en
réduisant leur temps de réaction, les banques font un premier pas
de géant vers une stratégie globale plus performante.
Bibliographie
Ouvrages
Bessis J, Gestion des risques et gestion actif-passif des
banques, Paris, Dalloz
Crouhy, Galai et Mark R(2001), Risk management
:comprehensive chapters on markets, credit and operational risk, features an
integrated Var framework, hedging strate gies for reducing risk, New York:
Mc Graw Hill
Cruz M(2002) Modeling and measuring operational risk,
New York, Wiley
Dietsch M et Petey J(2008) Mesure et gestion du risque de
crédit dans les institutions financieres. Edition Paris Revue
Banque Edition
Dupré D et El Babsiri M(1 997), Techniques pour la
gestion actif /passif, Paris Eska Jacob H et Sardi A(2001), Management
des risques bancaires, édition AFGES
Jiménez Ch. et Merlier P et Chelly D,(2008), risques
opérationnels : de la mise en place du dispositif à son
audit, Paris :Revue Banque Edition ,
Documents officiels
Basel Committee on banking Supervision, Banks interactions
with highly leverated institutions et sound practices for banks interactions
with highly leveraged institutions, January 1999
Basel Committee on Banking Supervision, Sound Practices for
management and Supervision of Operational Risk, July 2002
Basel Committee on Banking Supervision, Quantitative Impact
Study 3 Technical Guidance, October 2002
Basel Committee on Banking Supervision, Amendment of capital
Accord to Incorporate Markets Risks, January 2003
Basel Committee on Banking Supervision, Sound Practices for
management and Supervision of Operational Risk, February 2003
Basel Committee on Banking Supervision, The new Basel Capital
Accord, Basel Committee on Banking Supervision, Consultative Document,
April 2003
Basel Committee on Banking Supervision, Guidelines for
Computing Capital for Incremental Default Risk in the trading Book,
October 2007
Sites internet
www.bis.org : site de
référence pour les documents officiels de la BRI
édictés par le Comité
www.banque-France.fr : site de la Commission Bancaire
concernant la règlementation Française.
http://www.opriskandcompliance.com
: le journal du risque opérationnel.
http://www.ecb.int : Banque centrale
Européenne / Eurosystème
www.gloriamundi.org : site de
référence sur la Var (derniers articles de recherche en ligne).
http://www.afdb.org : banque africaine
de développement
http://www.federalreserve.gov :
Banque fédérale Américaine.
http://www.pwc.com : Auditeurs
PriceWaterHouseCoopers
Articles
Himino R(2004), Bale ou définition d'un langage
commun, Rapport trimestriel de la Banque des Règlements
Internationaux, Sept.
Pennequin M(2002) Problèmes méthodologiques -
le risque opérationnel, Revue d'économie
Financière.
Frantz Maurer (2006) Quelles données pour le risque
opérationnel ? Banque Stratégie numéro 242.
Autres.
|