5.2.2. Organisation du reporting
Concernant l'architecture IT, l'amélioration de la
sécurité est un point de passage obligé. Conjointement
avec les différentes fonctions IT de la banque, le risk management est
responsable de l'allocation du montant nécessaire de ressources
(humaines et financières) afin d'atteindre le niveau de
«sécurité» adéquat. Il peut s'agir, par exemple,
de l'installation de mécanismes de prévention de courts-circuits
ou de surtensions de systèmes informatiques ou autres. Par ailleurs, il
est difficile d'espérer une réduction significative du risque
opérationnel sans un reporting performant.
Généralement, on distingue le reporting interne,
destiné au management de la banque, et le reporting externe qui
s'adresse aux autorités de régulation. Ne répondant aux
mêmes objectifs, ces deux catégories requièrent des
fonctionnalités très différentes.
Le reporting externe est pour l'essentiel normatif : la banque
est dans l'obligation de fournir au régulateur des informations
spécifiques sous un format déterminé. Le reporting
interne, quant à lui, exige beaucoup plus de flexibilité pour
être véritablement efficace, et aura tout intérêt
à mêler information qualitative et quantitative.
D'autre part, les différents niveaux de
responsabilité au sein de l'organisation n'exigeront probablement pas le
même niveau de détail concernant l'information sur le risque
opérationnel. Par contre, ils seront sûrement
intéressés par la possibilité de segmenter cette
information en fonction de leur propre activité et
responsabilité. La possibilité de réaliser des analyses de
scénarios sera également déterminante à ce
niveau.
Les outils de reporting externe, destinés à
l'autorité de régulation, vont vraisemblablement perdurer sous la
forme de solutions autonomes, compte tenu de leur nature normative et de leur
capacité à servir de support au développement de logiciels
dédiés. Les outils de reporting interne se destinent plutôt
à devenir partie intégrante de solutions globales, étant
donné le besoin actuel des banques en termes d'analyses de
scénarios. Autrement dit, ils seront amenés à jouer un
rôle d'interface active entre les bases de données et les outils
d'autoévaluation. Ces derniers doivent permettre l'attribution de scores
évaluant la qualité, mais aussi et surtout, les insuffisances du
système de gestion du risque opérationnel à l'oeuvre dans
la banque.
En définitive, une stratégie globale de gestion
du risque opérationnel doit permettre à la banque de
réagir et de se rétablir dans les meilleurs délais
lorsqu'un événement de risque opérationnel survient, ce
qui réduit de fait l'impact sur sa rentabilité et son
activité clients. À ce niveau, le risk management doit travailler
en collaboration étroite avec les responsables de la continuité
de l'activité, de façon à les aider à actualiser
leur plan/planning de redressement en cas d'occurrence
d'événements de risque opérationnel. Le risk management
doit également fixer des priorités et orienter l'engagement de la
banque, tant humain que financier, dans sa stratégie globale de gestion
des risques.
|