Définition et enjeux
Le comité de Bâle définit le risque opérationnel comme le « risque de pertes provenant de processus internes inadéquats ou défaillants, de personnes et systèmes ou d’événements externes ».
Cette définition recouvre les erreurs humaines, les fraudes et malveillances, les défaillances des systèmes d’information, les problèmes liés à la gestion du personnel, les litiges commerciaux, les accidents, incendies, inondations, … Autant dire que son champ d’application semble tellement large qu’on n’en perçoit pas d'emblée l’application pratique.
De plus, la notion de risque opérationnel apparaît de prime abord comme peu novatrice, dans la mesure où les banques n’ont pas attendu le comité de Bâle pour organiser leurs activités sous forme de procédures, et pour se doter de départements d’audit interne chargés de vérifier la bonne application de ces procédures. Toutefois, des défaillances spectaculaires, comme celle de la Barings, ont attiré l’attention des autorités de tutelle sur la nécessité de doter les banques de mécanismes de prévention et de couverture (via la constitution de fonds propres dédiés) contre les risques opérationnels.
🎯 La mise en pratique prônée par le nombre croissant de réflexions consacrées à ce sujet consiste à considérer comme réalisation d’un risque opérationnel :
- Tout événement qui perturbe le déroulement normal des processus métier
- Et qui génère des pertes financières ou une dégradation de l’image de la banque (bien que cette dernière conséquence ait été explicitement exclue de la définition du comité de Bâle, elle n’en reste pas moins au centre des préoccupations).
Une gestion proactive du risque opérationnel, outre qu’elle permet de se conformer aux exigences du comité de Bâle, aboutit nécessairement à une amélioration des conditions de production : rationalisation des processus d’où gain de productivité, amélioration de la qualité d’où meilleure image de marque… En particulier une telle démarche permet de mettre en place des outils quantitatifs permettant de fixer aux équipes opérationnelles des objectifs mesurables en termes de réduction des risques opérationnels.
D’autre part la complexité et la technicité croissante des opérations, l’augmentation des volumes et le développement du temps réel réduisent de plus en plus le « droit à l’erreur », quand le coût de l’erreur peut rapidement se chiffrer en centaines de milliers voire en millions d’Euros. Le contexte est favorable à une prise de conscience car les risques opérationnels deviennent, comme le risque de crédit et le risque de marché, une composante intrinsèque du métier bancaire.
❌ La mise en place d’une méthode de suivi des risques opérationnels se heurte pourtant à de nombreux obstacles d’ordre psychologique ou organisationnel en interne :
- Les équipes sont en ce moment mobilisées sur d’autres projets de place : normes IAS, partie « risque de crédit » de Bâle 2.
- Le sujet présente un aspect diffus et non quantifié qui le rend difficile à appréhender.
- Plusieurs services ont déjà dans leur périmètre des activités voisines : secrétariats généraux, services juridiques, etc… Et ils ne voient pas d’un bon œil des projets qui entameraient plus ou moins leurs prérogatives.
- Les tâches de reporting et de suivi représentent une charge supplémentaire pour les opérationnels.
- Enfin la direction elle-même peut avoir tendance à minimiser l’impact des risques opérationnels, car il y a toujours dans le risque opérationnel un côté « défaillance humaine », ce qui peut impliquer l’engagement des responsabilités des cadres dirigeants, tous aspects que l’on préfère occulter.
Cependant le sujet fait son chemin et le corpus méthodologique se développe et se structure progressivement.
La cartographie des risques
La première étape de la démarche de suivi du risque opérationnel consiste à établir une cartographie des risques. Cette cartographie s’appuie sur une analyse des processus métier, à laquelle on croise la typologie des risques opérationnels.
Un processus métier désigne un ensemble de tâches coordonnées en vue de fournir un produit ou un service à la clientèle. La définition des processus métier répond en premier lieu à un découpage économique de l’activité de la banque, et non un découpage organisationnel.
L’identification des processus métier part ainsi des différents produits et services et identifie les acteurs (qui peuvent appartenir à des entités différentes au sein de l’organisation) et les tâches impliquées dans la fourniture de ces produits.
À chaque étape du processus on associe ensuite les incidents susceptibles d’en perturber le déroulement et d’entraîner la non-réalisation des objectifs du processus (en termes de résultat concret, ou en termes de délais). Pour chaque événement le risque est évalué en fonction de :
- Probabilité d’occurrence,
- Perte encourue en cas de réalisation.
Chaque événement à risque doit être rattaché à une catégorie de risques rendant ensuite l’analyse des données plus facile et rapide, et sur le plan organisationnel à la ligne métier où l’incident a eu lieu. Le comité de Bâle a d’ailleurs défini des listes de rubriques standards applicables dans ces domaines (cf. plus bas).
La classification des risques reflète la vision dont le management souhaite disposer au plus haut niveau, doit permettre d’établir des synthèses transverses à toutes les activités, et à ce titre doit être établie par un département central de suivi des risques.
Par contre, pour être réaliste et utile, l’analyse des processus métier et des risques encourus doit être confiée aux opérationnels concernés. Ceux-ci s’appuieront sur un cadre de travail rigoureux et identique pour tous, mais qui leur permets de décrire leurs activités.
Enfin la cartographie ne saurait être complète si elle ne s’accompagnait de l’identification des facteurs de risque (key risk indicators): ce sont les éléments quantitatifs susceptibles d’augmenter la probabilité de réalisation d’un risque : nombre d’opérations traitées, taux d’absentéisme, etc. Cette notion constitue le fondement de la méthode dite des « scorecard« , cf. plus bas.
Recensement des données de pertes
L’identification a priori des risques aboutit à une cartographie « théorique » des activités, mais seule l’expérience permet de valider cette description d’abord, d’identifier les zones d’activité sensibles pour y mettre en place les contrôles adéquats ensuite. On passe alors à la collecte des incidents constatés dans une base historique, permettant d’évaluer les pertes réellement subies suite aux risques opérationnels (loss data).
La collecte s’effectue généralement sous forme déclarative. Les opérationnels remplissent des fiches standardisées qui sont ensuite saisies dans une base de données, ou saisissent directement dans l’outil. On peut également prévoir, en particulier pour les incidents de type panne informatique, une collecte automatique ou semi-automatique (« rapport de panne » produit automatiquement puis complété manuellement des montants de pertes encourues).
De telles bases, alimentées sur plusieurs années consécutives, deviennent une source précieuse d’information pour le management des risques opérationnels. Ces données permettent de dégager une vision objective, chiffrée, des risques encourus, à condition bien sûr d’avoir été constituées d’une manière fiable et réaliste.
La collecte des événements de perte s’appuie sur la cartographie précédemment établie pour le recensement et le référencement des incidents. Elle permet par ailleurs, par un effet rétroactif, de peaufiner cette cartographie.
Il existe également des bases similaires mais provenant de sources externes. Ces données complètent avantageusement les données collectées en interne. En effet les bases historiques ne recensent par définition que les incidents qui se sont déjà produits dans l’établissement. Pour obtenir une mesure plus réaliste on y ajoute donc un échantillonnage plus large obtenu en compilant les données d’autres établissements. Ces données nécessitent toutefois un effort d’interprétation et d’adaptation à la situation propre de l’établissement.
L’analyse statistique des données de pertes ainsi recensées permet d’obtenir un graphe des événements de pertes où s’échelonnent, d’une extrémité à l’autre, les événements fréquents mais ayant un impact financier faible, jusqu’aux événements rarissimes mais aux conséquences catastrophiques. Cette distribution des risques peut ensuite faire l’objet de toutes sortes de calculs sophistiqués (cf. ci-dessous).
Mesure du risque opérationnel
La nécessité de mesurer le risque opérationnel provient des préconisations du comité de Bâle, qui requièrent des banques d’allouer une quantité de capital adéquate pour couvrir leur risque opérationnel.
Théoriquement, cette somme de capital devrait correspondre à la perte maximale encourue du fait des risques opérationnels par l’établissement avec une probabilité élevée (99%) sur un horizon de temps donné (par exemple un an). Il s’agit donc à la base d’une « Value at Risk » (VAR). Reste à savoir comment calculer cette VAR.
Nous nous concentrons ici sur les méthodes de mesure « autonomes », celles qui ne sont pas issues d’une décision du régulateur, ou plus précisément qui entrent dans la catégorie des « méthodes avancées » du comité de Bâle.
Globalement les méthodes d’évaluation se rattachent à 3 grandes familles, qui ne sont pas nécessairement mutuellement exclusives comme on va le voir plus bas: les méthodes statistiques, les approches par scénarios et les approches par « scorecards ».
Approches statistiques
L’exemple le plus représentatif des méthodes statistiques est l’approche par la « Distribution des pertes » ou « Loss Distribution Approach » (LDA). Elle s’appuie sur une base de données des événements de pertes collectés au sein de l’établissement, enrichi de données provenant de sources externes.
La démarche consiste d’abord à établir, pour chaque ligne métier et chaque type d’événement de pertes, 2 courbes de distribution des probabilités de pertes, l’une représentant la fréquence des événements de pertes sur un intervalle de temps donné, (loss frequency distribution), l’autre la sévérité de ces mêmes événements (loss severity distribution). Pour ce faire, on trie les événements de pertes par fréquence d’une part, et par coût d’autre part. On représente ensuite le résultat sous forme graphique (histogrammes).
Pour chacune des distributions obtenues, on recherche ensuite le modèle mathématique qui rend le mieux compte de la forme de la courbe. Pour valider le choix d’un modèle mathématique, on met en relation le résultat (fréquence ou perte) prédit par le modèle mathématique et le résultat de la courbe issue des données réelles : si les 2 courbes se superposent, le modèle est réputé fiable.
On combine alors les 2 distributions, en utilisant une simulation de Monte-Carlo afin d’obtenir, pour chaque ligne métier et chaque type d’événement, une courbe agrégée de distribution des pertes pour un horizon de temps donné. Pour chacune, la Value At Risk (VAR) est la perte maximale encourue avec une probabilité de 99,9%.
Le capital requis dans le cadre de Bâle II est alors la somme des VAR ainsi calculées.
Approches par scénarios
L’approche par scénarios consiste à mener des enquêtes systématiques auprès d’experts de chaque ligne métier et de spécialistes de la gestion des risques. Le but est d’obtenir de ces experts une évaluation de la probabilité et du coût d’incidents opérationnels identifiés conformément aux grilles d’analyse proposées par le comité de Bâle.
La construction des scénarios combine l’ensemble des facteurs de risques (key risk indicators) d’une activité donnée. On effectue ensuite des simulations en faisant varier les facteurs de risque.
Cette approche constitue un complément intéressant quand les données historiques ne sont pas suffisantes pour appliquer une méthode purement statistique. Elle trouve en particulier son application pour évaluer les impacts d’événements de risque de sévère amplitude, ou l’impact de la survenance simultanée de plusieurs événements. En effet la méthode statistique décrite plus haut présente l’inconvénient de considérer les incidents opérationnels comme complètement décorrélés, et ne prend pas en compte leurs effets éventuellement cumulatifs.
Contrairement à ce que pourrait indiquer son intitulé, l’approche par scénarios n’a pas qu’un aspect purement « qualitatif ». Elle se prête également à la modélisation mathématique et le corpus théorique sur le sujet est abondant (voir gloria-mundi.com).
Scorecards
Les méthodes statistiques ont ceci de biaisé, voire dangereux, qu’elles prétendent fonder des calculs parfois extrêmement sophistiqués sur des données d’échantillonnage rares, dispersées, et soumises à nombre d’appréciations subjectives. On est loin de l’objectivité des calculs effectués dans le cadre du risque de marché et même du risque de crédit, où les données de base sont beaucoup moins contestables. La sophistication des calculs donne une apparence de sérieux qui ne résiste peut-être pas toujours à l’examen des données sur lesquelles ils s’appuient!
De plus ces méthodes, fondées exclusivement sur des données historiques, ne permettent pas d’anticiper les changements dans le profil de risque de l’établissement dus aux évolutions internes (nouvelles organisations, nouvelles activités) et externes (évolutions des marchés, de la concurrence, apparition de nouvelles méthodes de fraude). Elles fondent les estimations sur les événements qui se sont déjà produits, pas sur ceux qui pourraient réellement se produire, et parmi lesquels se trouvent les plus redoutés, ceux qui se produisent rarement mais avec des conséquences lourdes.
La méthode des scorecards offre de ce point de vue une alternative intéressante, puisqu’elle s’appuie non pas sur des données de pertes effectivement constatées, mais sur des indicateurs de risque, qui incorporent donc une vision « a priori » des risques opérationnels.
Cette méthode consiste à produire pour chaque catégorie de risques, une grille d’appréciation regroupant des indicateurs quantitatifs: taux de turnover, nombre d’opérations, … et qualitatifs: appréciation de la vitesse de changement d’une activité, par exemple. Ces questionnaires sont établis par des équipes d’experts regroupant des spécialistes du risque et des opérationnels de chaque ligne métier. Ils englobent à la fois les critères qui gouvernent la probabilité et l’impact potentiel d’un risque.
Une fois ces questionnaires établis, on effectue une première évaluation a priori, et c’est l’aspect surprenant de la méthode, du capital requis pour le risque opérationnel au niveau de l’établissement. Pour cette évaluation, force est d’utiliser une méthode statistique! Cette première évaluation doit être en principe légèrement surévaluée, car par la suite on n’utilisera plus que les scorecards pour faire évoluer le montant global de capital alloué.
Le montant de capital est ensuite distribué à chaque catégorie de risques en évaluant, pour chaque ligne métier, l’importance relative de chaque catégorie de risques.
Enfin les questionnaires sont distribués aux lignes métier et remplis par elles. Comme il y a 13 catégories de risques au sens de Bâle 2, que les questionnaires comprennent au moins 20 questions, et qu’il peut y avoir dans les grands établissements plusieurs dizaines d’unités concernées, cela produit une quantité considérable de données à dépouiller.
Le résultat de ce dépouillement permet d’établir un « score » de chaque ligne métier pour chaque catégorie de risque opérationnel, et de lui allouer ainsi la proportion de capital réglementaire qui lui revient.
La répétition de ce processus permet de faire évoluer au fil du temps la quantité de capital allouée à chaque ligne métier. Comme cette évaluation se fait indépendamment des autres lignes métier, il ne s’agit pas d’un jeu à somme nulle: le montant global de capital réglementaire peut diminuer ou augmenter en fonction des scores obtenus.
La méthode des scorecards permet d’obtenir un tableau détaillé du profil de risques de l’établissement. Elle permet également d’impliquer les opérationnels dans le suivi des risques , et constitue de ce fait également une forte incitation à la réduction de ces mêmes risques.
Contrôle des risques opérationnels
La maîtrise et si possible la réduction des risques opérationnels nous ramènent à la cartographie des risques. Il s’agit d’abord de déterminer un niveau de risque acceptable, puis d’identifier les mesures nécessaires pour ramener le risque « inhérent » (risque existant avant l’application des mesures préventives) à ce niveau.
La mise en œuvre des mesures de contrôle et plans d’action résulte ensuite d’un compromis entre leur coût d’application et le niveau de risque obtenu.
Le cadre de la gestion des risques doit évoluer en même temps qu’évolue l’activité de l’établissement : chaque démarche projet (projet « métier » ou projet informatique) devrait donc comprendre un volet risque visant à
- Revoir les processus métier au regard du projet : création de nouveaux processus, disparition ou adaptation des processus existants
- Identifier les risques encourus
- Préciser les mesures de contrôles qui seront prises afin de réduire les risques.
Une véritable démarche de suivi du risque opérationnel s’inscrit donc dans un processus récursif.
Les risques opérationnels dans Bâle 2
Une des principales innovations de l’accord Bâle II par rapport à Bâle I a été non seulement d’exiger l’allocation de fonds propres à la couverture contre les risques opérationnels mais aussi de prôner un dispositif de gestion des risques opérationnels.
Le dispositif de calcul des fonds propres prévu par Bâle 2 propose aux banques trois méthodes de calcul de complexité croissante. La méthode choisie doit être uniforme dans un groupe bancaire.
- L’indicateur de base consiste en l’application d’un ratio forfaitaire (15%) au Produit Net Bancaire des 3 derniers exercices.
- L’approche standard permet d’appliquer un coefficient différent selon les lignes métier. L’éligibilité à cette méthode impose de disposer de données chiffrées des pertes supportées par chaque ligne métier du fait des risques opérationnels.
- Enfin l’approche avancée permet à l’établissement de construire sa propre méthode interne d’évaluation des risques opérationnels. La méthode choisie ainsi que les conditions d’application (présence d’une structure centralisée de contrôle des risques, fréquence et pertinence des reportings, …) sont alors soumises à l’approbation préalable du régulateur. L’éligibilité à cette méthode impose de disposer des données suivantes :
- Données de pertes internes (propres à l’établissement)
- Données de pertes externes (bases de données transverses sur l’ensemble de la profession)
- Analyses de scénarios d’événements potentiels
- Analyses des facteurs d’environnement et de contrôle interne
Le choix d’une méthode avancée nécessite un investissement plus conséquent au départ, mais permet aussi de réduire les exigences en fonds propres.
Par ailleurs, les travaux du comité de Bâle se sont attachés à définir une typologie standardisée des lignes Métier et des risques opérationnels.
Lignes Métier
Financement des entreprises
Sous-niveau | Groupes d’activité |
Financement des entreprises | Fusions-acquisitions, engagement, privatisations, titrisation, recherche, titres de dette (État, haut rendement), actions, prêts consortiaux, introductions en Bourse, placements sur le marché secondaire |
Financement collectivités locales / administration publique | |
Banque d’affaires | |
Service-conseil |
Négociation et vente
Sous-niveau | Groupes d’activité |
Vente | Valeurs à revenu fixe, actions, changes, matières premières, crédit, financement, titres sur position propre, prêts et pensions, courtage, titres de dette, courtage de premier rang |
Tenue de marché | |
Positions pour compte propre | |
Trésorerie |
Banque de détail
Sous-niveau | Groupes d’activité |
Banque de détail | Prêts et dépôts, services bancaires, fiducie et gestion de patrimoine |
Banque privée | Prêts et dépôts, services bancaires, fiducie et gestion de patrimoine, conseils en placement |
Cartes | Cartes de commerçant / commerciales / d’entreprise / de clientèle et commerce de détail |
Banque commerciale
Sous-niveau | Groupes d’activité |
Banque commerciale | Financement de projets, immobilier, financement d’exportations et du commerce, affacturage, crédit-bail, prêts, garanties, lettres de change |
Paiements et règlements
Sous-niveau | Groupes d’activité |
Clientèle extérieure | Paiements et recouvrements, transferts de fonds, compensation et règlement |
Fonction d’agent
Sous-niveau | Groupes d’activité |
Conservation | Dépôts fiduciaires, certificats de titres en dépôt, prêts de titres (clients), opérations de sociétés |
Prestations d’agent aux entreprises | Agents émetteurs et payeurs |
Services de fiducie aux entreprises |
Gestion d’actifs
Sous-niveau | Groupes d’activité |
Gestion de portefeuille discrétionnaire | Gestion centralisée, séparée, de détail, institutionnelle, fermée, ouverte, capital investissement |
Gestion de portefeuille non discrétionnaire | Gestion centralisée, séparée, de détail, institutionnelle, fermée, ouverte |
Courtage de détail
Sous-niveau | Groupes d’activité |
Courtage de détail | Exécution et service complet |
Typologie des risques opérationnels
Fraude interne
Pertes dues à des actes visant à frauder, détourner des biens ou à tourner des règlements, la législation ou la politique de l’entreprise (à l’exception des atteintes à l’égalité et des actes de discrimination) impliquant au moins une partie interne à l’entreprise.
Sous-catégories | Exemples |
Activité non autorisée | Transactions non notifiées (intentionnellement) Transactions non autorisées (avec perte financière) Évaluation erronée d’une position (intentionnellement) |
Vol et fraude | Fraude / fraude au crédit / absence de provisions Vol / extorsion / détournement de fonds / vol qualifié Détournement de biens Destruction malveillante de biens Contrefaçon Falsification de chèques Contrebande Usurpation de compte / d’identité / etc. Fraude / évasion fiscale (délibérée) Corruption / commissions occultes Délit d’initié (pas au nom de l’entreprise) |
Fraude externe
Pertes dues à des actes visant à frauder, détourner des biens ou contourner la législation de la part d’un tiers.
Sous-catégories | Exemples |
Vol et fraude | Vol / vol qualifié Contrefaçon Falsification de chèques |
Sécurité des systèmes | Dommages dus au piratage informatique Vol d’informations (avec perte financière) |
Pratiques en matière d'emploi et sécurité sur le lieu de travail
Pertes résultant d’actes non conformes à la législation ou aux conventions relatives à l'emploi, la santé ou la sécurité, de demandes d’indemnisation au titre d’un dommage personnel ou d’atteintes à l’égalité / actes de discrimination.
Sous-catégories | Exemples |
Relations de travail | Questions liées aux rémunérations, avantages, à la résiliation d’un contrat Activité syndicale |
Sécurité du lieu de travail | Responsabilité civile (chute, etc.) Événements liés à la réglementation sur la santé et la sécurité du personnel Rémunération du personnel |
Égalité et discrimination | Tous types de discrimination |
Clients, produits et pratiques commerciales
Pertes résultant d’un manquement, non intentionnel ou dû à la négligence, à une obligation professionnelle envers des clients spécifiques (y compris exigences en matière de fiducie et de conformité) ou de la nature ou conception d’un produit.
Sous-catégories | Exemples |
Conformité, diffusion d’informations et devoir fiduciaire | Violation du devoir fiduciaire / de recommandations Conformité / diffusion d’informations (connaissance de la clientèle, etc.) Violation de la confidentialité de la clientèle Atteinte à la vie privée Vente agressive Opérations fictives Utilisation abusive d’informations confidentielles Responsabilité du prêteur |
Pratiques commerciales / de place incorrectes | Législation antitrust Pratiques incorrectes Manipulation du marché Délit d’initié (au nom de l’entreprise) Activité sans agrément Blanchiment d’argent |
Défauts de production | Vices de production (absence d’agrément, etc.) Erreurs de modèle |
Sélection, parrainage et exposition | Insuffisance de l’analyse clientèle Dépassement des limites d’exposition d’un client |
Services-conseil | Conflits sur l’efficience des prestations |
Dommages aux actifs corporels
Destruction ou dommages résultant d’une catastrophe naturelle ou d’autres sinistres.
Sous-catégories | Exemples |
Catastrophes et autres sinistres | Pertes résultant d’une catastrophe naturelle Pertes humaines dues à des causes externes (terrorisme, vandalisme) |
Dysfonctionnements de l’activité et des systèmes
Pertes résultant de dysfonctionnements ou de l’activité ou des systèmes.
Sous-catégories | Exemples |
Systèmes | Matériel Logiciel Télécommunications Interruptions / perturbations d’un service public |
Exécution, livraison et gestion des processus
Pertes résultant d’un problème dans le traitement d’une transaction ou dans la gestion des processus ou des relations avec les contreparties commerciales et fournisseurs.
Sous-catégories | Exemples |
Saisie, exécution et suivi des transactions | Problèmes de communication Erreurs dans la saisie, le suivi ou le chargement Non-respect de délais ou d’obligations Erreur de manipulation du modèle / système Erreur comptable / d’affectation d’une entité Autres erreurs d’exécution Problèmes de livraison Fautes dans la gestion des sûretés Mauvais suivi des données de référence |
Surveillance et notification financière | Manquement à l’obligation de notification Inexactitudes dans les rapports externes (pertes) |
Admission et documentation clientèle | Absence d’autorisations / renonciations clientèle Documents juridiques absents / incomplets |
Gestion des comptes clients | Accès non autorisé aux comptes Données clients incorrectes (pertes) Actifs clients perdus ou endommagés par négligence |
Contreparties commerciales | Faute d’une contrepartie hors clientèle Divers conflits avec une contrepartie hors clientèle |
Fournisseurs | Sous-traitance Conflits avec les fournisseurs |
Les systèmes d’information et le risque opérationnel
Les systèmes d’information occupent une place prépondérante dans les marchés aujourd’hui, et se trouvent de ce fait au cœur des préoccupations quand on met en œuvre une démarche de maîtrise des risques opérationnels. Tout projet informatique devrait donc inclure un volet risques opérationnels.
Par ailleurs on note le développement des Systèmes d’Information dédiés à la gestion des risques opérationnels. Les outils de suivi du risque opérationnel proposés intègrent soit la démarche qualitative : cartographie des risques, soit la démarche quantitative : bases de données des incidents et exploitation statistique des historiques, soit préférentiellement les deux. Ils incluent généralement les fonctions suivantes :
- Modélisation de l’organisation
- Modélisation des processus métier
- Collecte et stockage des incidents
- Exploitation statistique des données historiques
- Mesure du risque
- Calcul du capital réglementaire
- Reporting
Laisser un commentaire