Memoire Online - Le processus de gestion et de mesure du risque opérationnel selon les exigences de comité de Bâle

Le processus de gestion et de mesure du risque opérationnel dans le cadre des règles et des saines pratiques prévues par le comité de Bâle :

Toutes mes profondes reconnaissances pour tous les efforts fournis et la vaillance que vous m'avez accordez pour le bon déroulement de ce travail ainsi que tous mes remerciements pour les conseils et le temps consacré.

Tous mes remerciements pour vôtres sacrés temps que vous avez consacrés pour examiner ce travail et l'évaluer.

Tous mes remerciements aussi a cet établissement source de connaissance et de savoir qui ne cesse de nous apprendre grâce à un programme assez riche et sans oublier tous les professeurs et tous leurs efforts et leurs vaillance pour qu'on acquis toutes les connaissances essentielles à notre réussite professionnelle.

Mes remerciements s'adressent également à toute l'équipe du département d'audit du cabinet KPMG qui a eu la courtoisie de me recevoir tout au long de la période d'étude et de me faire partager leur parcours et de m'avoir prodigué leur confiance.Profond reconnaissance et remerciement à tous ceux qui ont apportés aide et assistance dans l'élaboration de ce travail de recherche que j'espère qu'il soit le fruit de tous ces efforts.

Je dédie ce travail qui n'aura jamais pu voir le jour sans le soutien indéfectible et sans limite de mes chères parents qui ne cessent de donner avec amour et fournir le nécessaire pour que je puisse arriver a ce que je suis aujourd'hui, que dieu vous protège et que la réussite soit toujours a ma porte pour que je puisse vous combler de bonheur.

Merci aussi a mon frère Younes pour ces encouragements et son appui multidimensionnel et que ce travail soit pour lui une raison pour être fier de tout ce qu'il a fait pour moi.

Merci aussi a ma soeur ibtissem et a mon beau frère Omar qui m'ont aidé et soutenus pendant toutes cette période sans oublier mon chère neveu Ilyasse source de la joie et d'innocence et qu'ils trouvent dans ce travail le fruit de leurs soutiens et encouragement.

Je tiens aussi à dédier ce travail et remercier du fond du coeur, Zahra Mouden et sa mère Haja Mina pour leurs accueille chaleureux, leurs appui et aide tout au long de cet période.

REMERCIEMENTS.....................................................................................................1

DEDICACES...............................................................................................................2

SOMMAIRE.................................................................................................................3

INTRODUCTION GENERALE...............................................................................6

PARTIE 1 - Le Risque Opérationnel : périmètre, moyens d'identification et de gestion ; et instruments de couvertures................................................................. 11

CHAPITRE 1- Présentation et définition du risque opérationnel ......................... ....13

SECTION I- Emergence de la notion du risque opérationnel......................................13

1. Accord de Bâle I............................................................................. 13

2. Le risque opérationnel est la cause de plusieurs crashs financiers...........................15

3. Les accords de Bâle II .............................................................................................22

SECTION II - Définition du risque opérationnel........................................................26

1. Les composantes du risque opérationnel..................................................28

2. Typologie proposée par le comité de Bâle pour le risque opérationnel ..................32

3. Les métiers de la Banque générant le risque opérationnel ......................................34

du risque opérationnel........................................................................ 37

SECTION I- identification du risque opérationnel ................................................37

1. Outils d'identification du risque opérationnel.......................................... 38

selon Bâle II................................................................................................................ 45

1. L'approche indicateur de base............................................................. 46

2. L'approche standard ................................................................. ........47

3. Les approche de mesures avancées .......................................................................50

4. Les critères d'agrément pour l'approche standard et les approches de mesures avancée..........................................................................................60

5. Les critères quantitatifs propre à l'approches des mesures avancées......................................................................................................................62

CHAPITRE 3- La gestion du risque opérationnel ......................................................68

SECTION I- L'identification, l'évaluation et le suivi du risque opérationnel.................................................................................................................69

1. Identification du risque.....................................................................69

2. L'évaluation du risque ............................................................................................69

3. suivi du risque .........................................................................................................70

SECTION II - Les moyens de maitrise et d'atténuation du risque opérationnel................................................................................................................72

1. Le contrôle interne..........................................................................73

2. L'audit interne .......................................................................................................76

3. Autres pratiques internes pour maitriser le risque opérationnel ............................83

4. Les techniques d'atténuation du risque opérationnel..............................................83

5. Les plan de continuité d'exploitation .....................................................................85

6. La création de fonction de gestion du risque opérationnel .....................................85

7. Les objectifs à atteindre à travers les moyens et outils de gestion du risque opérationnel.................................................................................................................87

PARTIE 2 - La démarche suivie par le Maroc et la Tunisie pour la gestion du risque opérationnel conformément aux exigences de Bâle II .............................90

SECTION I- les dispositions prises par le Maroc et la Tunisie pour assurer une gestion du risque opérationnel conforme aux exigences de Bâle II.........................94

1. Etat des lieux au Maroc............................................................................. ....................94

2. Etat des lieux en Tunisie .......................................................................................105

SECTION II - La démarche d'implémentation d'un dispositif de gestion du risque opérationnel..................................................................................................................72

1. cartographie des risques...................................................................116

2. Constitution d'une base de données ......................................................................118

3. La définition de procédures de contrôle................................. ....................121

4. La conception des outils de suivi du risque opérationnel.......................................123

5. Mesures du risque opérationnel...... .....................................................................125

6. Disposer d'autres instruments d'atténuation du risque opérationnel.....................126

7. Mise en place des plans de secours et de continuité d'exploitation..................127

8. Politique de communication et de documentation.................................................128

9. Mise en place d'un processus d'amélioration continue..........................................129

CONCLUSION GENERALE...............................................................................131

BIBLIOGRAPHIE..................................................................................................136

ANNNEXES ............................................................................................................141

INTRODUCTION GÉNÉRALE

Actuellement, L'environnement économique et financier est devenu de plus en plus une source de risque ; cela est du principalement a son caractère d'instabilité ; aux mutations accélérées ; une concurrence accrue dans différents secteurs ; la mondialisation des échanges ; l'émergence de nouvelles zones économiques à forte croissance, une sophistication incessante des produits financiers, l'innovation technologique et une forte volatilité de marché...

Le système bancaire international se trouve situé au coeur de ces mutations. Il est au centre des circuits et mécanismes financiers, il représente le partenaire officiel et habituel des acteurs économiques des différents Etats et il est quotidiennement confronté à la prise de décision en avenir risqué.

En fait pour faire face et suivre ces mutations, les banques doivent relever des défis exceptionnels afin de se doter d'avantages déterminants concurrentiels. L'univers de la banque est un univers pavé de risques, la banque ressemble de plus en plus à une « machine à risques » : elle prend des risques, les transforme et elle les incorpore aux services et aux produits bancaires qu'elle offre.

la notion de risque comporte deux aspects, un aspect positif et un autre négatif, le risque positif ou upside risk représente le risque pris par l'organisation et s'accompagne avec un accroissement des résultats, le risque négatif ou downside risk est par contre le risque d'avoir les résultats de l'organisation en diminution , c'est ce dernier qui intéresse le plus les dirigeants, une panoplies de risques ( risque de crédits, risque de marché, risque de liquidité...) sont bien connus dans leurs principes, En effet, La nouveauté tient plutôt à la diversité des risques auxquels les banques doivent faire face ; à l'ampleur particulière de certaines pertes, à leur soudaineté et au fait que les dirigeants soient parfois surpris ou dépassés.

Ces pertes ont été estimées par certains analystes à 12 milliards de dollars^1(*) sur les dix dernières années. De telles pertes sont dues généralement à une inadéquation ou une défaillance des procédures, du personnels, des systèmes internes ou à des évènements extérieurs et plus précisément au risque opérationnel.

Le risque opérationnel a toujours existé mais était souvent ignoré où géré d'une manière fragmentée. Aujourd'hui, malgré sa complexité et sa diversité, on tente de le mesurer et de le gérer comme les autres risques. Il a pris au fil des ans, avec les avancées technologiques et la complexité croissante de processus de gestion, une ampleur considérable. Dans les métiers bancaires et financiers, ces risques sont particulièrement sensibles en raison de la spécificité de la matière traitée, de la complexité économique et juridique de certaines opérations, du nombre important des transactions réalisées, de l'importance des procédures pour les différentes fonctions, et enfin, de la dépendance envers l'outil informatique.

Par contre l'idée nouvelle est que la gestion du risque opérationnel devient une discipline autonome avec ses propres outils de mesure et ses propres procédures de contrôle, tout comme pour le risque de crédit ou le risques de marché.

Et c'est dans cette perspective que vient l'apport de l'accord de Bâle II. L'apport majeur du comité de Bâle est que le risque opérationnel est défini et circonscrit, il est associé à une charge en capital réglementaires et à des prescriptions quant à leur mode de gestion.

Au fils des temps le risque opérationnel a connu une croissance importante. Les pertes subies par les établissements au titre du risque opérationnel sont en effet évaluées à plus de 200 milliards d'euros sur la période 1980-2000. En plus l'exercice de collecte de pertes réalisé en 2002 par le groupe Risk Management du Comité de Bâle révèle que les 89 banques ayant participé à cet exercice ont connu sur le seul exercice 2001 plus de 47000 événements de pertes pour un montant cumulé de pertes opérationnelles s'élevant à près de 7,8 milliards d'euros. Face à cette matérialisation croissante des risques opérationnels, le Comité de Bâle a jugé nécessaire d'en assurer une couverture non seulement par le développement de meilleures pratiques au sein des banques, mais également par la mise en place d'exigences de fonds propres.

Bien entendu, la gestion du risque opérationnel n'est pas une pratique nouvelle, le but ultime étant de gérer la volatilité additionnelle des résultats engendrés par le risque opérationnel, il a toujours été très important pour les banques d'essayer de prévenir les fraudes, de réduire les erreurs ou de veiller à la séparation des taches. Elles comptaient que sur les mécanismes de contrôle interne au sein des entités opérationnelles, complétés par l'audit interne pour gérer le risque opérationnel.

Une maturation est aperçue au niveau de la gestion du risque opérationnel ; on est passé d'une gestion fragmenté à une gestion intégrée, d'une attitude réactive on passe à une attitude proactive, du regard tourné vers le passé à un regard tourné vers le futur...

Dans ce présent travail, la problématique fondamentale à laquelle on se propose d'apporter des éléments de réponses est la suivante : quelles sont les exigences du dispositif de Convergence Internationale de la Mesure et des Normes de Fonds Propres (accords de Bâle II) en matière de gestion du risque opérationnel ? À quel stade sont les pays du Maghreb (la Tunisie et le Maroc)^2(*) en matière d'application de ces exigences afin de mieux gérer le risque opérationnel au sein de leurs institutions financières ?

Dans une première partie intitulée ; le risque opérationnel : périmètre moyen d'identification, de gestion et instruments de couverture, nous aborderons :

Dans un premier chapitre le périmètre du risque opérationnel selon la définition qui lui a été attribuée par le comité de Bâle et de rappeler les scandales financiers à l' origine de ce risque.

Dans le deuxième chapitre nous aborderons les outils d'identification et les approches de mesures du risque opérationnel.

Et dans le troisième chapitre nous aborderons les moyens de gestion, d'atténuation et de couvertures du risque opérationnels.

Une fois les exigences de comité de Bâle II en matière de gestion du risque opérationnel identifiées, nous aborderons dans une deuxième partie les mesures prises par la banque centrale de Tunis et Bank- Al Maghreb pour la mise en place d'un dispositif de gestion du risque opérationnel conformément aux exigences du comité de Bâle.

La combinaison entre les exigences théoriques de comité de Bâle et l'état des lieux en Tunisie et au Maroc en matière de gestion du risque opérationnel nous a permis de présenter des facteurs clés pour réussir la mise en place d'un dispositif de gestion du risque opérationnel.

Concernant les limites inhérentes à ce mémoire, nous n'avons pas abordé le volet statistique (dans le sens technique statistique relatif à la mesure du risque opérationnel).

PREMIÈRE PARTIE

LE RISQUE OPÉRATIONNEL : PÉRIMÈTRE, MOYENS D'IDENTIFICATION ET DE GESTION ; ET INSTRUMENTS DE COUVERTURE.

Périmètre, moyens d'identification, de gestion et instruments de couverture.

La première partie est consacrée a délimiter le périmètre du risque opérationnel selon la définition qui lui a été attribuée par le comité de Bâle et rappeler les scandales financiers à l' origine de ce risque par le biais du premier chapitre, dans le deuxième chapitre nous aborderons les outils d'identification et les approches de mesures du risque opérationnel. Et dans le troisième chapitre nous aborderons les moyens de gestion, d'atténuation et de couvertures du risque opérationnels.

CHAPITRE 1 : PRÉSENTATION ET DÉFINITION DU RISQUE OPÉRATIONNEL

Le risque opérationnel a fait l'objet de plusieurs réflexions afin de délimiter son périmètre et lui attribuer une définition claire et communément admise et applicable aux établissements financiers ; ceci est peut être du à l'ampleur des scandales financiers et la croissance des pertes subies par les établissements de crédit suite au risque opérationnel.

C'est la définition du risque opérationnel, sa typologie selon le comité de Bâle et les crashs financiers dus principalement à ce denier qui vont faire l'objet de notre premier chapitre.

SECTION I : EMERGENCE DE LA NOTION DU RISQUE OPÉRATIONNEL

Le milieu bancaire a été marqué par de nombreuses faillites dans les années 70 et 80, ces faillites ont des conséquences fâcheuses sur le système bancaire international qui est de plus en plus concentré, en fait le phénomène de l'effet domino se déclenche puisque une banque qui fait défaut entraîne avec elle des milliers de déposants et surtout d'autres banques.

Pour éviter les faillites ou en réduire le risque, les pays du G14 ont décidé de créer le comité de Bâle qui vise à déterminer des règles en matière de fond propres.

D'où l'institution du comité de Bâle sur le contrôle bancaire en 1974, qui regroupe les autorités de surveillance prudentielles et les banques centrales des pays du groupe des Dix dits G10 (a l'époque). Il est composé de hauts représentants des autorités de contrôle bancaire et des banques centrales des pays suivants : Allemagne, Belgique, Canada, Espagne, Etats-Unis, France, Italie, Japon, Luxembourg, Pays-Bas, Royaume-Uni, Suède, et Suisse. Son objectif principal est d'améliorer la stabilité du système financier international par l'introduction des exigences de fonds propre applicables à toutes les banques. Cet objectif s'est concrétisé par l'accord dit de Bâle I portant sur la dotation en fonds propres signé en 1988 au siège de la banque des règlements internationaux.

Le comité se réunit généralement à la banque des règlements internationaux, à Bâle en Suisse, où se trouve son secrétariat permanent.

En effet une banque qui aura assez de fonds propres pourra faire face au remboursement de ses créanciers même si plusieurs entreprises auxquelles elle a accordé des emprunts lui font défaut ou bien si un grave problème informatique l'empêche de pratiquer son activité pendant plusieurs jours. Ces règles se sont matérialisées dès 1988 avec l'accord de Bâle I qui a donné naissance au ratio Cooke définissant un rapport entre les fonds propres des banques et les risques de crédit pondérés selon la nature des opérations seuls dans un premiers temps et introduisant le risque du marché après en 1996.

En effet, depuis la finalisation du premier accord, le secteur bancaire s'est constamment plaint de l'approche trop simplificatrice des actifs pondérés menant au calcul du ratio Cooke. Ainsi, nombreuses sont les grandes institutions financières qui ont développé leur propre système de mesure du risque de crédit et du marché.

Parmi les lacunes de l'accord de Bâle I, du point de vue des régulateurs, la prise en considération des risques bancaires n'est pas assez globale, dans la mesure où seuls les risques de crédit et de marché sont prisent en compte, mais pas les risques opérationnels ; alors que plusieurs enquêtes sur les scandales financiers ont soulevé que le risque opérationnel était à l' origine de plusieurs désastres financiers.

le risque opérationnel a pris de l'ampleur suit aux pertes considérables subies par les établissements de crédits et suite aux scandales financiers résultant de la combinaison d'une part d'un risque de crédit et de marché et d'autre part d'une défaillance en matière de contrôle interne dans différents domaines administratifs, humains, juridiques ... autrement dit , ils sont en partie une conséquence d'un risque opérationnel.

L'importance croissante du risque opérationnel s'est largement concrétisée par les pertes subies par les établissements au titre du risque opérationnel ; sont en effet généralement évalués à plus de 200 milliards d'euros sur la période de 1980-2000.

Le désastre financier majeur de BARINGS a constitué l'affaire la plus spectaculaire au monde, à l'année 1996 : les marchés financiers ont été secoués par une spéculation périlleuse. La prestigieuse banque Barings, la plus ancienne banque d'Angleterre (250 ans d'existence), a fait faillite après la perte de plus d'un milliard de dollars résultant de placements hasardeux effectués par l'un de ses agents.

Nicolas Leeson à l'âge de 27 ans et dans une période de moins d'un an parvient à mettre en faillite cette banque.

Ce trader prodige des marchés financiers employé dans la succursale à Singapour prend d'importantes positions à découvert sur l'indice Nikkei ; puis celles-ci s'avérant progressivement perdantes suite au retournement de la bourse, il les augmenta en cherchant à compenser les positions déjà perdantes.

Il a constamment agit au delà de son autorité en prenant des positions à découvert dépassant les montants autorisés, situation rendue possible par le fait qu'il était a la fois responsable du Back office et du trading.

Il pariait sur la hausse de la bourse japonaise en vendant à terme des contrats sur l'indice Nikkei 225 pour des montants énormes. Les pertes sur les positions sur le Nikkei s'envolèrent après le tremblement de terre de Kobe qui provoqua une chute brutale de l'indice, la confiance dans le Yen s'effondrant ; de ce fait les pertes de Leeson atteignaient les six milliards de francs^3(*).

· Un risque humain qui se manifeste par le syndrome du personnel « star » en conséquence d'une confiance trop forte et notamment de la concentration des pouvoirs chez une seule personne qui accumule de même la fonction de Front office et back office.

· En plus on peut dire que le fait de s'engager dans des opérations non autorisées, et de violer les limites et les engagements constitue un risque humain « volontaire ».

· Une défaillance au niveau du système de contrôle interne de la banque ; son manque d'efficacité n'a pas permis de détecter la violence du principe de séparation de tache au sein de l'activité.

· L'incapacité de l'audite externe a détecter et contrôler la stratégie de trading de Leeson.

Donc on peut conclure qu'outre le risque de marché, le risque opérationnel a contribué à l'effondrement de la maison Barings.

En 1995, Daiwa la deuxième banque du Japon à l'époque, constatait des pertes d'une ampleur comparable à celle de Barings. Ses pertes estimées à 1.1 milliards de dollars étaient causées par la fraude de son trader New-Yorkais, M.Igushi occupant son poste depuis 11 ans ; ce dernier face à une croissance de ses pertes, avait dépassé ses limites de position.

Pour tenter de compenser ses résultats négatifs, il a commencé à vendre délibérément, au nom de Daiwa, des obligations appartenant à ses clients et déposées dans la succursale New-Yorkaise de la banque.

De même nature que celui de la Barings, le problème est survenu en raison d'un manque de séparation des tâches, puisque Igushi était à la charge à la fois du front et du back office.

En outre on peut dire que Daiwa avait les moyens de vérifier les relevés quotidiens d'opérations avec les situations mensuelles des portefeuilles. Cette faiblesse prouve la déficience de son système de contrôle interne.

Ces facteurs ont permis aux autorités de réglementation américaines d'ordonner l'arrêt de l'activité de Daiwa à New-York, en incitant par cela les établissements bancaires japonais à accroître leur transparence financière.

Plus spectaculaire encore est le cas de Yasuo Hammanaka, l'un des managers les plus anciens et les plus respectés de Sumitomo Corporation qui a laissé partir en fumée une perte individuelle d'environ de 1.8 milliards de $ pendant 10ans en essayant d'influencer à lui tout seul le cours mondial du cuivre. Il était un spéculateur habile qui a écrasé la concurrence avec ses ordres énormes d'achat et de vente de cuivre.

Le désastre de Sumitomo est considéré comme la plus grande perte commerciale dans l'histoire, plus grande que les 1.1 milliards de dollars de Daiwa ou les 1.3 milliards de dollars de Barings. Sumitomo achetait 800 000 tonnes de métal par an, le vendant aux filiales et aux marchés en plein essor en Asie du Sud-Est, la plupart de ces ordres ont été passés par Mr Hammanaka .Cette société a été conduite dans l'obscurité par Hammanaka qui a violé ses limites en effectuant des échanges non autorisés. Ses propres transactions secrètes étaient astucieusement cachées dans un compte confidentiel ou il a transféré toutes ses pertes.

Les doutes sur le risque qu'il a présenté étaient déclarés par un auditeur interne de la compagne qui a découvert une transaction non autorisée pour laquelle les fonds ont traversé une banque étrangère anonyme. Ceci était favorisé quand les autorités de surveillance et de contrôle au Etats Unis et en Grande Bretagne ont demandé à Sumitomo de coopérer à une recherche sur la manipulation suspectée des prix.

Les pertes subies par Sumitomo peuvent être expliquées par le fait que Hammanaka disposait d'une autonomie peu commune dans l'organisation.

En plus, il était célèbre en raison des affaires et les bénéfices qu'il apportait au moins sur le papier. Son expertise et sa spécialisation requises pour le travail l'ont favorisé pour rester si longtemps dans la section cuivre sur le marché des matières premières, et aucune personne n'a osé examiner attentivement ses transactions. Il a été confié beaucoup de responsabilités par la compagnie et seulement ses régulateurs étaient loin de Tokyo.

Sumitomo une fois qu'il avait la preuve des commerces non autorisés de Hammanaka, la révélation des pertes annoncées par son président a provoqué des frissons au niveau des marchés internationaux qui provoquèrent une baisse d'environ 10 % du prix du cuivre sur les marchés de Londres et New York City. Ces pertes totales étaient estimées à 2.6 milliards de $4(*) et le désastre de Sumitomo se classe comme la plus grande perte du commerce non autorisé.

Castor Holdings était la seule banque d'affaires agissant dans l'immobilier à ne pas être touchée par les crises de 1982 et 1991, et pour cause: l'entreprise était dirigée par un fraudeur.

L'homme d'affaires d'origine allemande Wolfgang Stolzenberg a fondé Castor Holdings à Montréal, en 1975.

De ses bureaux situés avenue McGill College, l'entreprise agissait comme bailleur de fonds auprès d'entreprises immobilières dans les secteurs commercial, industriel et hôtelier, au Canada et ailleurs dans le monde.

Castor Holdings utilisait l'argent d'investisseurs pour le prêter à des promoteurs immobiliers. L'entreprise faisait ses bénéfices sur le principe de la marge, c'est-à-dire la différence entre les intérêts consentis à ses bailleurs de fonds et ceux qu'elle exigeait des entreprises à qui elle prêtait.

Quand la récession du début des années 1980 frappe l'Occident, tout le secteur immobilier est touché. Mais Stolzenberg ne semble pas touché.

Et pour cause, car il commence à trafiquer ses états financiers et fait croire que ses créanciers lui remboursent son argent alors que le secteur immobilier est en déroute. C'est de cette façon qu'il parvient à maintenir Castor à flot et à attirer d'autres investisseurs.

La stratégie de Stolzenberg consiste à emprunter de nouveaux capitaux pour pallier des prêts consentis à des promoteurs depuis longtemps disparus. De cette façon, il fait croire que ses coffres sont pleins mais n'investit pas les sommes qu'il reçoit. Il cache également de l'argent dans des filiales qu'il a créées.

La fraude dont la Société Générale a été la cible est historique de part le montant des pertes (4,9 milliards d'euros) et de part l'impact en terme d'image.

Les opérations ayant conduit à une perte d'environ 4,9 milliards € pour la Société Générale sur ses activités de marché pour compte propre auraient été le fait d'un seul opérateur ; à ce stade, aucun élément connu ne conduit à infirmer ce constat. Cet opérateur avait une activité d'arbitragiste sur dérivés actions (warrants) : cette activité consiste à gérer en parallèle deux portefeuilles de taille et de composition proches, l'un devant permettre de couvrir l'autre. De ce fait, le risque généré mais également le résultat net dégagé sont censés être faibles en comparaison des engagements bruts résultant des portefeuilles.

En l'occurrence, l'opérateur en cause aurait pris des positions directionnelles non autorisées sur des contrats à terme sur indices actions européens, couvertes par des opérations fictives,

qui masquaient l'augmentation de la position et du risque nets de la banque. Il aurait procédé en répétant le schéma suivant :

- annulation de cette opération avant qu'elle ne soit détectée du fait d'un contrôle, qu'elle ne donne lieu à confirmation ou à appel de marge, puis saisie d'une nouvelle opération.

Il aurait donc effectué une gestion très active de ses portefeuilles, tout en cherchant à masquer les gains et les pertes.

Le jeune trader J.K. à un profil différent de ces collègues traders, il avait précédemment travaillé au Middle Office de la SGCIB (le Middle Office est le service contrôlant constamment le travail des traders, vérifiant que les risques qu'ils prennent sont limités et correctement couverts).
Son passé au Middle Office lui a appris les contrôles effectués : quand ils étaient effectués et les différents type de contrôles utilisés. Il a ensuite utilisé ses connaissances pour masquer ses opérations frauduleuses durant les contrôles.

La crise des subprimes s'est déclenchée au deuxième semestre 2006 avec le krach des prêts immobiliers (hypothécaires) à risque aux États-Unis (les subprimes), que les emprunteurs, souvent de conditions modestes, n'étaient plus capables de rembourser. Révélée en février 2007 par l'annonce d'importantes provisions passées par la banque HSBC, elle s'est transformée en crise financière mondiale à partir de l'été 2007, avec une défiance envers les créances titrisées ( ABS, RMBS, CMBS, CDO) qui comprennent une part plus ou moins grande de crédits subprime, puis envers les fonds d'investissement, les OPCVM (dont les SICAV monétaires) et le système bancaire susceptibles de détenir ces dérivés de crédit.

Cette crise de confiance générale dans le système financier a causé une première chute des marchés boursiers à l'été 2007. Elle fut cependant beaucoup moins profonde que celle de l'automne 2008. Les autorités ont d'abord cru à une crise de liquidité bancaire et les banques centrales n'ont cessé d'injecter massivement des liquidités dans le marché interbancaire. Mais peu à peu, le scénario d'une crise de solvabilité globale des banques s'est imposé.

Il s'est avéré que les crédits hypothécaires accordés à une clientèle peu solvable, sur la base d'une majoration du taux d'intérêt (subprimes) ne sont pas un risque de crédit, mais bien un risque opérationnel en rapport avec le risque de crédit.

« Les subprimes^5(*) ne sont pas un risque de crédit, mais bien un risque opérationnel, puisque ce sont des crédits hypothécaires accordés à une clientèle peu solvable, sur la base d'une majoration du taux d'intérêt. Le prêt est accordé alors que la probabilité de défaut de la contrepartie ne fait aucun doute (Subprime = prime appliquée à un emprunteur dont la solvabilité est « en dessous » d'un certain seuil censée compenser les risques pris par le prêteur) ».

Le comité de Bâle pour la supervision bancaire a promulgué en juin 2004 un nouveau dispositif :(Convergence Internationale de la Mesure et des Normes de fonds Propres) « International Convergence Of Capital Measurement and Capital Standards »^6(*).

Cet accord a remplacé le précèdent accord qui a instauré un ratio prudentiel minimum dit ratio Cooke, L'objet essentiel de Bâle II demeure le renforcement de la stabilité du système bancaire. La révision commencée en 1999 vise seulement à combler les lacunes de Bâle I et à adapter les directives au nouveau contexte des mutations intervenues sur les marchés financiers.

L'objectif principal est d'abandonner le système de couverture forfaitaire imposé aux banques pour adopter une réglementation du capital propre minimal plus complète qui tienne mieux compte des risques mais le nouveau ratio McDonough maintient la définition du capital minimum de 8% de l'encours de risque pondéré.

Bâle II est alors venu avec une nouvelle structure : Ses accords reposent sur 3 piliers complémentaires qui devraient garantir le soutien d'une base optimale de calcul de fonds propres des établissements bancaires ainsi qu'un renforcement du contrôle tant qu'interne qu'externe des pratiques d'évaluation des risques.

· Le second pilier : consiste à appuyer sur la surveillance de ses fonds propres et la mise en place en interne de processus de contrôle du risque. Ce pilier donne beaucoup plus de pouvoirs aux instances de contrôles qui peuvent inspecter les systèmes des banques et leur imposer un montant de fonds propres supérieurs si elles le jugent nécessaire.

· Le troisième pilier : repose sur le principe de la discipline de marché avec différentes informations à publier en matière de risque de crédits, de marchés opérationnels ainsi que sur le montant des fonds propres, les opérations de titrisation mises en place et enfin les méthodes d'évaluations et de contrôle du risque. Il ne s'agit bien sûr pas de dévoiler ses méthodes, mais d'en communiquer l'existence.

Le comité de Bâle n'a aucun pouvoir législatif ou réglementaire. Pour leurs application, les accords de Bâle II doit faire l'objet d'une transposition législative ou réglementaire dans chaque pays. Tout comme Bâle I, les nouvelles directives sur les fonds propres à l'échelle internationale ont valeur de recommandations. Il appartient alors aux différentes banques centrales de les adapter à leurs juridictions.

Le nouvel accord du comité de Bâle rapproche le cadre prudentiel et les exigences en fonds propres qui en résultent des pratiques en vigueur dans l'industrie bancaire pour le pilotage des risques.

· Un meilleur alignement des exigences des fonds propres sur les risques sous jacents.

Cette réforme, permettra non seulement de faire converger le capital réglementaire (souci des autorités de contrôle) et le capital économique (souci des établissements) mais aussi, au-delà des exigences de fonds propres, de poser un véritable cadre prudentiel pour le contrôle bancaire des prochaines années.

Les règles de Bâle II définissent des méthodes avec lesquelles les institutions financières peuvent mesurer leurs risques. Les risques mesurés forment la base de calcul du montant des fonds propres que l'institution doit mettre en réserve pour couvrir les pertes potentielles.

Le nouvel accord de Bâle prend en compte les 3 grands types de risques auxquels sont confrontés les établissements bancaires :

Le risque de crédit : déjà pris en compte dans le ratio Cooke, correspond au risque de défaut de la contrepartie à laquelle un prêt a été accordé ;

Le risque de marché : pris en compte par les réglementations postérieures au ratio Cooke, couvre dans le cadre des opérations de marché :

Le risque opérationnel : constituant l'une des principales novations du nouvel accord.

En faite outre la révision profonde du traitement du risque du crédit, la reconnaissance du risque opérationnel, et son inclusion dans les exigences réglementaires constitue la grande nouveauté de l'accord.

SECTION II: DÉFINITIONS DU RISQUE OPÉRATIONNEL

La première étape dans la mise en oeuvre d'une stratégie de gestion des risques opérationnels est donc de définir avec assez de précision les périmètres de ce risque.

Plusieurs définitions ont été attribuées à la notion de risque opérationnel :

Vanini (2002) définit le risque opérationnel comme « le risque de déviation entre le profit associé à la production d'un service et les attentes de la planification managériale. Le R.O. correspond à l'écart enregistré, positif ou négatif, par rapport au profit attendu ».

King (2001) définit le risque opérationnel comme le risque qui « ne dépend pas de la façon de financer une entreprise, mais plutôt de la façon d'opérer son métier », et « le risque opérationnel est le lien entre l'activité du travail d'une entreprise et la variation de résultat du travail ».

Kuritzkes (Wharton, 2002) définit le risque opérationnel comme un risque non financier ayant 3 sources : le risque interne (ex : « rogue trader »), le risque externe c'est à dire tout événement extérieur incontrôlable (ex : une attaque terroriste) et le risque stratégique (ex : un affrontement dans une guerre de prix).

D'autre ont défini le risque opérationnel comme le risque de pertes imprévisible en conséquence de dysfonctionnements des systèmes d'information ou des contrôles internes.

Certains le définissent comme le risque de perte consécutive a différents types d'erreurs humaines ou techniques ; ou le définir par défaut c'est-à-dire tout sauf le risque de crédit et de marché d'autre part il est défini en tant que risque résiduel.

Les travaux de normalisation qui ont été menés dans le secteur bancaire, ont remis au goût du jour la notion de risque opérationnel. Si ce risque en soi n'est pas nouveau, l'évolution de la réglementation bancaire le replace au premier rang des préoccupations au travers de normes que l'on désigne communément sous le terme de « Bâle II ».

En fait le débat sur la définition du risque opérationnel a commencé avec le comité de Bâle. Le risque opérationnel correspond, dans un premier lieu, aux « risques de pertes directes et indirectes résultant de l'inadéquation ou de la défaillance de procédures, de personnes et de systèmes ou résultant d'événements extérieurs ». (Second document consultatif).Cette définition a été critiquée, car il est difficile de calculer certaines pertes indirectes.

En effet avec les accords de « Bâle2 » le risque opérationnel est désormais défini et circonscrit. L'appréciation de la solvabilité bancaire, jusqu'ici mesurée à travers le « ratio Cooke », va prendre en compte à partir de fin 2006 les risques opérationnels, en sus des risques de crédit et des risques de marché. Ceci se fera à travers un nouveau ratio qui est le « ratio Mc Donough ».

Le comité de Bâle a essayé de délimiter de manière précise le périmètre des risques opérationnels dans une définition claire, commune et applicable à l'ensemble d'un groupe bancaire. La réforme prudentielle bancaire indique que :

« Le risque opérationnel se définit comme le risque de perte résultant de carences ou de défaillances attribuables à des procédures, personnes et systèmes internes ou à des événements extérieures.la définitions inclut le risque juridique, mais exclut le risque stratégique et d'atteinte a la réputation ».

Et c'est cette définition de comité de Bâle qui va être prise en considération dans la suite de notre travail ainsi que ces exigences pour la gestion du risque opérationnel.

Selon la définition communément admise par « Bâle II », le risque opérationnel se décompose en quatre sous ensembles.

Ce risque peut être lié à une défaillance matérielle suite a l'indisponibilité soit provisoire ou prolongée des moyens (installations immobilières, matériels, systèmes informatiques ou dispositifs techniques ...) nécessaires à l'accomplissement des transactions habituelles et à l'exercice de l'activité, pannes informatiques résultant d'une défaillance technique ou d'un acte de malveillance ; une panne d'un réseau externe de télétransmission rendant temporairement impossible la transmission d' ordres sur un marché financier ou le débouclement d'une position ; un système de négociation ou de règlement de place en défaut ou débordé ; baugue logiciel et obsolescence des technologies (matériel, langages de programmation,...).

Ce risque est du au non respect des procédures ; aux erreurs provenant de l'enregistrement des opérations, la saisie, les rapprochements et les confirmations tels que :

un double encaissement de chèque, un crédit porté au compte d'un tiers et non du bénéficiaire, le versement du montant d'un crédit avant la prise effective de la garantie prévue, le dépassement des limites et autorisations pour la réalisation d'une opération, etc....

ü le risque lié aux personnes : ce risque est naît du fait que les exigences attendues des moyens humains (exigence de compétence et de disponibilité, exigence de déontologie...) ne sont pas satisfaites, peut être lié à l'absentéisme, la fraude, l'incapacité d'assurer la relève sur les postes clés ...

Ce risque peut être involontaire ou naître d'une intention délibérée, résultant souvent d'une intention frauduleuse. Les « erreurs involontaires » sont souvent coûteuses ; leur prévention comme leur détection précoce dépendent de la qualité du personnel, de sa vigilance, comme de ses capacités d'adaptation aux évolutions techniques mais aussi de la technicité des opérations à traiter et de la qualité du matériel et de la logistique utilisés.

Quant au « risque volontaire », il va de la simple inobservation des règles de prudence, du conflit d'intérêts entre opérations pour son propre compte et opérations pour le compte de l'établissement ou du client, jusqu'à la malveillance et la réalisation d'opérations carrément frauduleuses.

Ce risque peut être à l' origine de risque politique, catastrophe naturelle, environnement réglementaire.

Le risque opérationnel inclus le risque juridique qui se définit comme suit : Risque de perte résultant de l'application imprévisible d'une loi ou d'une réglementation, voire de l'impossibilité d'exécuter un contrat. Il réside dans la possibilité que des procès, des jugements défavorable ou l'impossibilité d'un droit perturbe ou compromettre les opérations ou la situation d'un établissement.
Risque qu'une partie subisse une perte parce que le droit ou la réglementation ne cadre pas avec les dispositions du système de règlement de titres, l'exécution des accords de règlement correspondants ou les droits de propriété et autres droits conférés par le système de règlement. Le risque juridique est également présent si l'application du droit et de la réglementation n'est pas claire.

Les composantes du risque opérationnel peuvent être représenté selon le schéma suivant :

Les risques opérationnels peuvent être classés en trois domaines : la fraude, la sécurité et les procédures.

La fraude vise tant les événements externes (faux chèques...) que les malversations internes. La sécurité porte, quant à elle, sur la sécurité physique des bâtiments et des actifs (incendies, dégâts divers...) et sur la sécurité informatique et des systèmes. L'aspect du risque opérationnel relatif aux procédures couvre les pertes éventuelles découlant de pratique contraires à la réglementation, ainsi que les pertes provenant d'erreurs dans les procédures de traitement des opérations.

Le risque stratégique et le risque d'atteinte à la réputation sont exclus du périmètre du risque opérationnel.

En fait le risque d'atteinte à la réputation est défini : l'éventualité qu'une publicité défavorable justifié ou non, concernant les pratiques et connexion d'une banque n'entraine une perte de confiance dans l'intégrité de l'établissement. C'est l'ensemble des menaces qui affectent a long terme la confiance des partenaires de la firme ; en fait c'est risque bien réel mais souvent sous-jacent à un risque opérationnel (blanchissement) avéré et il est extrêmement difficile de la quantifier.

Le risque stratégique se défini comme : risque lié aux chois stratégique d'une firme pour s'adapter a son environnement concurrentiel. Les choix stratégiques doivent respecter les attentes des actionnaires et des clients, assurer la croissance des revenues et l'amélioration de la qualité de ces services et produits. Donc risque de perte de revenus encourus par une banque qui n'adapte pas ces produits, activités et services commerciale au besoins et usage en vigueur sur son marché de prédilection. Donc les choix stratégiques ont un impact sur ces revenus futures mais impact peu aisé a mesurer car indirect et désynchronisé par rapport a la période à laquelle le choix stratégique a été opéré.

Mais reste qu'il ya difficulté de différencier le risque stratégique du risque opérationnel, si l'implémentation des choix stratégiques est la cause directe (implémentation de système défaillant) des pertes assimilable a l'une ou l'autre des catégories de risque opérationnel, ces pertes serait de facto considérées comme des pertes opérationnel.

Concernant les quasis pertes qui sont les incidents qui n'ont pas d'impact monétaire sur le compte de résultats de la banque, mais qui auraient pu avoir lieu, si un événement fortuit ne l'avait pas empêché de se produire (contrôle interne..). Elles ne sont pas intégrer dans la base de données des pertes au titre du risque opérationnel.

Quant aux pertes opérationnelles associées au risque de crédit qui sont liées au risque de crédit (carence de gestion de sureté, par exemple, les supbrimes déjà évoqués), ces risque sont traités comme risque de crédit, c'est que les pertes ne sont pas assujetties à une exigence de fonds propres en regard du risque opérationnel mais ils sont notifiées dans la base de données des perte opérationnel afin de les gérées. La définition réglementaire du risque opérationnel englobe sept catégories d'événements, dont le lieu de survenance se répartit en huit lignes d'activités possibles.

Le comité de Bâle II adopte une classification assez précise des différents types de risque opérationnel et des lignes d'activités qui peuvent le générer. Ces événements constituent la catégorisation centrale des causes de pertes opérationnelles .les sept catégories principales d'événements^7(*) sont les suivants :

1- Fraudes internes : pertes dues à des actes visant à frauder, détourner des biens ou à tourner des règlements, la législation ou la politiques de l'entreprise impliquant au moins une partie interne à l'entreprises.

Exemple : Transaction non enregistrée intentionnellement, Détournement de capitaux, d'actifs, Contrefaçon, Destruction malveillante de capitaux...

2- Fraudes externes : pertes dues à des actes visant à frauder, détourner des biens ou à tourner des règlements, la législation de la part d'un tiers.

3- Pratiques en matière d'emploi et de sécurité sur le lieu de travail : pertes résultant d'actes non conformes à la législation ou aux conventions relatives à l'emploi, la santé ou la sécurité, de demandes d'indemnisation ou d'atteinte à l'égalité ou actes de discrimination.

Exemple: Questions liées aux rémunérations, avantages liés à la résiliation d'un contrat, Activités syndicales, Responsabilité civile (chutes...), Événements liés à la réglementation sur la santé et la sécurité du personnel, Rémunération du personnel.

4- Client, produits et pratique commerciales : pertes résultant d'un manquement non - intentionnel ou du à la négligence, à une obligation professionnelle envers des clients spécifiques, ou de la nature ou conception d'un produit.

Exemple : violation du devoir fiduciaire, de recommandation, Connaissance de la clientèle, conformité, diffusion d'informations, Atteinte à la vie privée, Vente agressive, Opérations fictives, Utilisations abusives d'information ...

5- Dommages aux actifs corporels : destruction ou dommages résultant d'une catastrophe naturelle ou d'autre sinistre.

6- Dysfonctionnement de l'activité et des systèmes : pertes résultant de dysfonctionnement de l'activité ou des systèmes (informatique et télé- communication)

7- Exécution, livraison et gestion des processus : pertes résultant d'un problème dans le traitement d'une transaction ou dans la gestion des processus ou de relation avec les contreparties commerciales et fournisseurs.

Exemple : Mauvaise communication, erreur de saisie de donnée ou erreur de chargement, non respect des dates limites, anomalie du système, erreur comptable ,non respect des reporting réglementaires, Etats externes imprécis, documents légaux manquants ou incomplets, Enregistrement de la clientèle incorrect, Perte, négligence ou dommage aux actifs des clients, Conflits avec des tiers,

Chaque type d'événement est ensuite réparti en deux niveaux successifs de sous-catégories, pour une identification précise de la nature de l'événement lors du reporting réglementaire.

Outre la nature de l'événement, le type de l'activité ou s'est produite la perte peut être aussi une estimation de la cause de la perte opérationnelle.

Le comité définit huit lignes d'activités, elles mêmes subdivisées en deux sous niveaux successifs.

Les lignes de métiers qui peuvent générer le risque opérationnel identifiées par le comité de Bâle2 sont les suivantes : (cf. annexe 2)

L1- financement des entreprises : financement d'entreprise, collectivité locale et administration publique, les banques d'affaires et service et conseil.

L2- négociation et vente : c'est l'activité de marché, tenu de marché, vente d'action, prise de position pour compte propre et trésorerie.

L 3-banque de détail : c'est l'activité pour les particuliers : prêt et dépôt ; les carte ; banque privé.

L4-banque commerciale : assure le financement des exportations et du commerce ; affacturage ; crédit bail et les prêts...

L5- paiement et règlement : pour la clientèle extérieur ; transfert de fond, compensation et règlement...

En effet une étude menée par le comité de Bâle sur un échantillon de 30 banques a permis de mettre en lumière les résultats des collectes d'informations sur des incidents dans la catégorie du risque opérationnel et par type d'activité métier. Cela a permis de donner une vision sur la disparité du risque opérationnel entre les différents métiers de la banque.

Le tableau suivant présente les résultats de l'étude cette matrice de 56 cellules est globale (ne tient pas compte des niveaux de lignes de métier et de catégorie d'événement).

L'identification des risques opérationnels générés par leurs activités demeure une étape fondamentale pour que les établissements de crédits puissent assurer les moyens adéquats pour leur quantification et leur gestion. Cette démarche d'identification et de gestion autonome est apparue ces dernières années comme une discipline séparée vue l'importance et l'impact de ces risques sur les banques quand ils interviennent.

CHAPITRE 2 : OUTILS D'IDENTIFICATION ET APPROCHES DE MESURE DU RISQUE OPÉRATIONNEL

Une fois le périmètre du risque opérationnel est bien défini, il ya lieu d'identifier les événements relatifs a ce risque et pour atteindre cet objectif il faut disposer des outils adéquats ; c'est ce qui va faire l'objet de la première section de ce chapitre.

La deuxième section est consacrée aux modalités de mesures quantitatives du risque opérationnel tel que définit par le comité de Bâle.

SECTION I : IDENTIFICATION DU RISQUE OPÉRATIONNEL

L'identification du risque est primordiale pour développer un contrôle et un suivi viable du risque opérationnel.

Pour pouvoir mettre en place un système viable de gestion du risque opérationnel, il est tout d'abord nécessaire, d'identifier les facteurs du risque opérationnel que se soit des facteurs interne ( la structure de la banque, nature de ses activités, la qualité de ses ressources humaines, les modifications de l'organisation et le taux de rotation du personnel) ou externes (comme les évolutions du secteur bancaire et les progrès technologiques) et qui pourraient empêcher la banque d'atteindre ses objectifs.

En fait l'identification des événements de risque suit une démarche structurée, basée sur la compréhension et l'analyse des processus opérationnels de la banque, de ces produits et de ses systèmes. A l'issue d'une bonne évaluation, la banque disposera pour l'ensemble de ses processus et de ses produits d'un inventaire des événements de risque, ainsi que d'une bonne compréhension des facteurs de risques associés.

Le comité de Bâle II a proposé des outils que la banque peut utiliser afin d'identifier et évaluer le risque opérationnel.

La cartographie des risques permet de définir de manière approfondie les impacts potentiels du risque, les facteurs qui déclenchent la survenance du risque ainsi que les facteurs qui déterminent l'envergure du dommage. Nous utilisons une méthodologie rigoureuse de cartographie des risques afin d'identifier les risques potentiels ainsi que les facteurs déterminants.

Cartographier les risques pour déterminer le profil de risque de la banque. Cette phase est une étape clé, car elle détermine sensiblement la nature des incidents qui seront collectés et donc suivis par la suite. C'est également cet exercice qui permettra de définir une nomenclature des risques valable pour l'ensemble de l'organisation, cadre indispensable à une collecte efficace et homogène des incidents.

1) Décomposer en activités chaque processus supportant des risques opérationnels : Cette étape consiste à diviser les différents processus élémentaires de la banque en sous processus, voire d'affiner cette division en dressant une liste des différents fonctions au sein de chaque département de la banque.

2) Pour chaque activité, recenser les risques associés ; faire l'inventaire des différents facteurs du risque opérationnel auxquels les métiers de la banque peuvent être exposés (recensement des litiges clients, des pertes financières dues à des dédommagements, des rectifications d'erreurs, des discontinuités de services, des délais anormaux de traitement d'opérations clientèles...)

· Probabilité d'occurrence : c'est la détermination de fréquence d'événements générateurs de pertes opérationnelles, la fréquence peut être modélisé grâce a un modèle statique (distribution de poison)

· Perte encourue en cas de réalisation : c'est l'impact de la perte qui s'est produite c'est la dimension de sévérité de la perte.

4) Elaborer la matrice les risques sur les axes fréquence et préjudice : il s'agit d'un graphe à deux dimension, la sévérité et la fréquence.la matrice est divisé en zones selon le niveau de risque et la nécessité des contrôles.

5) Déterminer « visuellement », à partir de matrice, les risques significatifs (C'est à dire ceux que l'on décide de recueillir dans l'outil de collecte).

Il s'agit d'un processus dans lequel des fonctions organisationnelles par exemple sont portées sur une carte par type de risque, ce processus peut relever des zones de faiblesses et aider à prioriser les actions de gestion subséquent.

C'est le fait de classer par ordre d'importance la vulnérabilité et ensuite analyser les situations à risque, pour cela l'analyse du risque s'appuie sur deux variables : gravité et fréquence. Avant d'estimer la gravité il est nécessaire que les décideurs définissent ce qu'ils entendent par grave.
Sont graves, une perte financière, humaine, des dégâts environnementaux, sanitaires.
La cartographie des risques se décline en quatre grandes catégories :

§ Risques de fréquence et de gravité faibles : Ce sont des risques qui se réalisent rarement et dont l'impact est limité même s'ils se réalisent. L'organisation peut vivre avec ces risques, nous parlerons de risques mineurs.

§ Risques de fréquence faible et de gravité élevée : ce sont des événements qui se produisent rarement mais dont les conséquences sont significatives lorsqu'ils se produisent. En raison de leur faible fréquence il est difficile de prévoir et d'anticiper leur survenance. La concrétisation du risque entraine des conséquences pouvant affecter sérieusement l'activité de l'organisation, le redémarrage nécessite l'injection de capitaux extérieurs. Cette deuxième catégorie et dénommée risques catastrophiques

§ Risque de fréquence élevée et de gravité faible : ces événements se produisent assez régulièrement mais leurs conséquence sont relativement faibles, le risque est généralement prévisible, cette catégorie peut être dénommé risque opérationnel.

§ Risques de fréquence et de gravité élevées : les évènements se produisent régulièrement et leurs conséquences sont à chaque fois significatives. Dans la majorité des cas le décideur abandonne le projet à moins que le projet soit primordial pour le développement de l'organisation. On parle alors de situation d'évitement.

L'identification ne doit pas concerner que les risques les plus dangereux mais aussi d'évaluer leur vulnérabilité à ces risques.

La conception d'une cartographie de risque est un travail complexe et délicat est nécessite l'effort pour la collecte des données interne et la constitution d'une base de donné des pertes recensés, ainsi que sa mise à jour est indispensable pour le suivi de l'évolution des risques et la prise en considération des nouveaux risques.

La cartographie représente un support de base pour la mise en place des indicateurs de risque, de types statistiques et souvent financiers, ils fournissent un aperçu de la position de la banque relativement au risque, ils sont revus périodiquement.

Les indicateurs de risque sont en effet de deux types, des indicateurs- clés de risque ( key risks indicators) spécifiques à chaque activité et constituent des indices de perte ou des dangers à venir et d'autre part on a les indicateurs-clés de performances ( key performance indicators) qui constituent des mesures d'évaluation de la qualité d'une activité.

Chaque activité disposera de son propre ensemble d'indicateur, spécifique à la nature des taches effectuées, au mode d'organisation des fonctions, au niveau d'automatisation des opérations, au niveau des flux financiers impliqués ou de la législation en vigueurs.

En effet il n'existe pas de liste standard d'indicateurs de risque et de performances pour l'ensemble des institutions bancaires. On peut citer les indicateurs de risque suivants :

Ressources humaines : rotation du personnel, pourcentage d'employés intérimaires, plaintes de la clientèle ...

Traitement et procédures : corrections d'écritures, plaintes et contestations...

· les indicateurs d'alerte, liés aux facteurs de risque : volumétrie, turnover des équipes, ...

· les indicateurs de risques avérés, liés aux conséquences : nombre d'erreurs, de sinistres ou de litiges, durés d'indisponibilité des systèmes, nombre de tentatives d'intrusion, d'incidents ...

Budget "sécurité", les indicateurs de pertes, pertes financières liées aux incidents, aux erreurs, dédommagements clientèle...

La banque évalue ses opérations et activités à l'égard de vulnérabilités potentielle en termes de risque opérationnel. La cartographie des risque est une nécessitée pour réussir le mécanisme de l'autoévaluation. Ce processus est mener en interne et comporte souvent des check listes et ou des work shops afin d'identifier les forces et les faiblesses de l'environnement du risque opérationnel. Le self-assesment utilise la technique de scorecard. A titre d'exemples les scorecards permettent de transformer des évaluations qualitatives en mesures quantitatives qui donnent un classement relatif de différents types d'exploitation au risque opérationnel.

En outre, les scorecards peuvent être utilisées par les banques afin d'allouer du capital économique à leurs lignes de métier en relation avec la performance à gérer et contrôler divers aspects du risque opérationnel. L'autoévaluation représente un outil de maitrise du risque qui est conditionné à sa couverture.

En fait, sur la base de données exhaustive et pertinente, les banques auront la possibilité de mesurer leur exposition aux risques opérationnels, prévenir leurs ampleurs et le cas échéant décider du montant de la couverture qui sera allouée.

Une fois le risque opérationnel est identifié, la banque va procéder a le mesurer. L'exposition au risque opérationnel est mesurée à l'aide d'une variété d'approche. Les différentes approches de mesure qualitative et quantitative seront exposées dans la section suivante.

SECTION 2 : LES MESURES RÉGLEMENTAIRES DU RISQUE OPÉRATIONNEL SELON BÂLE II

La mesure du risque opérationnel correspond à une valeur en risque, similaire dans son principe à celle calculée dans les domaines du risque de marché et du risque de crédit. Elle doit donc couvrir à la fois les pertes attendues (expected loss) et les pertes exceptionnelles (unexpected loss). Pourtant, en théorie, les fonds propres réglementaires ne couvrent que les pertes exceptionnelles et non les pertes moyennes, ces dernières étant censées être couvertes par des provisions ou imputées sur le résultat courant. Le Comité de Bâle propose trois approches distinctes pour déterminer le capital réglementaire au titre du risque opérationnel :

Les banques ont la possibilité de choisir celle qui leur paraît correspondre le mieux à la spécificité de leur activité, mais aussi à leur capacité globale d'action. Elles doivent en effet s'assurer qu'elles disposent de l'ensemble des moyens nécessaires à la mise en oeuvre de la solution retenue. Le degré de sophistication de chacune de ces trois méthodes est en effet croissant.

Selon l'approche de l'indicateur de base (basic indicator approch ou BIA), le capital réglementaire en couverture du risque opérationnel est égale à un pourcentage, appelé facteur alpha, égale à 15% du revenu annuel brut moyen de l'établissement sur les trois dernières années. Celui-ci se définit comme la somme des intérêts créditeurs nets et autres produits d'exploitation. Il exclut les provisions, les plus ou moins values liées au portefeuille-titres, et les éléments exceptionnels.

Selon cette approche très simplifiée, l'ampleur du risque opérationnel est une fonction positive du volume des activités, dont les différents éléments du revenu annuel brut sont ici des estimateurs. Les données de revenus, directement puisées dans la comptabilité officielle, ont l'avantage d'être disponible pour toutes les institutions, à la différence d'autres indicateurs plus complexes.

Le taux de 15% a été retenu suite aux deux premières études quantitatives d'impact réalisées lors du calibrage de l'accord.

En effet il apparait qu'en moyenne 15% du revenu annuel brut représente le montant cible de capital réglementaire opérationnel, pour les 29 établissements ayant répondu aux premières études quantitatives d'impact lancées par le comité en mai 2001.

L'approche de l'indicateur de base vie spécifiquement les plus petits établissements, les petites structures de banques locales ou filiales, de moindre importance, d'autres grands établissements, pour lesquelles les quelles le cout de mise en place d'approches plus élaborées serait prohibitif ou économiquement déraisonnable.

L'approche standard est en fait un prolongement plus fin de la BIA en déclinant ce type de calcul par type d'activité.

Le capital réglementaire est ici fonction d'un pourcentage du produit brut, appelé facteur béta, établi à 12%, 15%, ou18% selon le niveau du risque opérationnel estimé de chaque activité.

Avec kLI représente le capital réglementaire associé à la ligne i, RBLI est le revenu brut de la ligne correspondante, et âLI est le coefficient associé.

L'approche standardisée permet en outre de prendre en compte la nature de l'activité de l'institution.

Ainsi une institution dont l'activité se concentre sur les opérations les moins risquées ou bénéficiera d'une charge en capital moindre que celle présente dans tous les types d'activités ou dans les plus risquées.

Le tableau ci-dessus détaille les lignes d'activités et les pourcentages de revenus correspondants pour le calcul du capital réglementaire.

Les taux de calcul du capital réglementaire proviennent de la deuxième étude quantitative d'impact, portant sur 29 établissements, ceux qui ont répondu à l'enquête lancé par le comité de Bâle.

A propos des méthodes standard et des coefficients béta, le comité reste d'ailleurs prudent, en précisant que : « une banque doit élaborer des politiques spécifiques et disposer de critères consignés par écrit pour mettre en correspondance le produit brut des diverses catégories d'activité et unités avec le dispositif standardisé. Les critères doivent faire l'objet d'un examen et d'un ajustement, selon les besoins, de façon à intégrer les innovations/changement d'activité et de modification des risques ».

D'autre par on a Approche standard alternative et que selon le comité de Bâle : L'autorité de contrôle nationale peut, à sa discrétion, autoriser un établissement à appliquer l'approche standard alternative (ASA), à condition qu'il puisse démontrer que celle-ci apporte une amélioration, permettant par exemple d'éviter un double comptage des risques. Une fois qu'il aura adopté une approche ASA, l'établissement ne pourra pas revenir à l'approche standard sans l'autorisation de son autorité de contrôle. Il n'est pas envisagé de permettre aux grosses banques détenant des portefeuilles diversifiés sur les principaux marchés d'utiliser l'approche ASA.

Aux termes de l'ASA, l'exigence de fonds propres au titre du risque opérationnel et sa méthodologie de calcul sont identiques à celles de l'approche standard, sauf pour deux lignes de métier : banque de détail et banque commerciale. Pour celles-ci, les prêts et avances - multipliés par un facteur fixe « m » - sont utilisés au lieu du produit brut comme indicateur de risque ; les bêta sont identiques à ceux de l'approche standard. L'exigence de fonds propres ASA au titre du risque opérationnel pour opérations de détail (la formule de base étant identique pour l'activité de banque commerciale) est exprimée de la façon suivante :

Où KNI correspond à l'exigence de fonds propres pour l'activité de détail âNI correspond au bêta pour l'activité de détail, PANI correspond au total de l'encours des prêts et avances à la clientèle de détail (non pondérés des risques et avant déduction des provisions), calculé en moyenne sur les trois années écoulées m est égal à 0,035.

Aux fins de l'ASA, le total des prêts et avances dans l'activité de détail comprend l'ensemble des montants tirés sur les portefeuilles de crédit suivants : détail ; PME assimilées à la clientèle de détail ; acquisition de créances sur la clientèle de détail. Pour la banque commerciale, le total des prêts et avances comprend les montants tirés sur les portefeuilles de crédit suivants : entreprises ; emprunteurs souverains ; banques ; financement spécialisé ; PME assimilées aux entreprises ; acquisition de créances sur les entreprises. La valeur comptable des titres détenus dans le portefeuille bancaire doit également être incluse.

En appliquant l'ASA, les banques de détail et commerciales, si elles le désirent, peuvent agréger leurs activités de détail et de banque commerciale, en leur affectant un bêta de 15 %. De même, les banques qui ne sont pas en mesure d'affecter le produit brut aux six autres lignes de métier peuvent agréger le produit brut total correspondant et lui appliquer un bêta de 18 %, le produit annuel brut étant traité conformément au paragraphe 654.

Comme dans l'approche standard, l'exigence de fonds propres totale ASA représente la somme des exigences de fonds propres pour chacune des huit lignes de métier.

Il ne s'agit plus d'une approche unique, définie par le régulateur, mais d'un ensemble de modèles internes réunies sous le vocable « d'approche de mesures complexes » ou AMC (Advanced measurement approch ou AMA) approuvé par les autorités de contrôle sur la base d'une série de critère.

Selon l'AMa, l'exigence de fonds propres réglementaire équivaut à la mesure du risque opérationnel produite par le système interne de la banque, sur base de critères quantitatifs et qualitatifs.

Le Comité de Bâle propose plusieurs alternatives au sein du régime AMA : la méthode Scorecard, l'analyse de scénarios (Scenario-based AMA), et enfin, la méthode LDA (Loss Distribution Approach), la plus sophistiquée au plan technique. La pratique de chacune de ces méthodes est soumise au respect d'un ensemble de critères qualitatifs, notamment en termes d'évaluation du risque opérationnel et de procédure de collecte des données de perte. C'est là leur dénominateur commun. Sur le fonds, la différence concerne essentiellement le type d'information privilégié dans le calcul du capital réglementaire.

Les accords de Bâle II n'imposent aucune méthode particulière de calcul pour les banques adoptant l'approche de mesures complexes (AMA). Ce choix est laissé à la discrétion des banques, pourvu qu'elles satisfassent aux critères qualitatifs et quantitatifs énoncés dans l'accord.

Deux principales méthodologies sont utilisées pour le déploiement de ces approches de mesures avancées.

La méthodologie Top down donne une estimation du risque opérationnel sur la base des variations historiques des résultats après intégration de facteurs tels que l'évolution de l'activité où le coût lié aux changements. L'hypothèse sous-jacente est que les pertes historiques sont une bonne mesure des pertes futures.

Dans cette approche, certaines banques ont tendance à évaluer l'exigence de fonds propres pour le risque opérationnel en prenant simplement un pourcentage d'un indice d'activité comme le produit brut bancaire.

D'autres estiment le risque opérationnel selon un pourcentage fixe correspondant aux coûts opérationnels de l'établissement où de la ligne métier. La Bank of America prend par exemple 25 % des coûts fixes et 50 % des dépenses autre que les intérêts versés.

Selon cette approche, on peut envisager un schéma dans lequel le montant alloué en fonds propres pour couvrir le risque opérationnel serait égal :

Cette approche présente l'avantage de sa facilité à mettre en place, une fois que l'élément inconnu de volatilité des résultats historiques des activités est résolu. Toutefois elle présente une faible valeur analytique ; un rapport difficile à établir entre perte et revenu variable et entre risque opérationnel et revenu variable.

On peut dire que les modèles proposés par cette méthode ne sont pas propices à la mise en oeuvre d'un contrôle interne, d'où son ignorance à la qualité du contrôle. Dans ce cadre et pour mieux maîtriser le risque opérationnel les établissements s'orientent d'avantage vers des approches à forte valeur ajoutée type " Bottom Up ".

Les modèles Bottom -Up correspondent à une approche structurelle dans laquelle l'identification, l'évaluation des pertes et risques sont définis à l'intérieur de la banque en fonction de la logique de comportement, en séparant tout ce qui peut provenir des personnes, des processus et de la technologie.

En effet, lors d'une telle approche, chaque opération est analysée de son initiation jusqu'à sa comptabilisation. A chaque étape les tâches et contrôles clés sont décrits, testés et évalués.

Le recensement et l'évaluation des risques opérationnels se faisant selon une cartographie (zones géographiques, ligne métier, entité, activité et productivité) qui se décline de la plus globale à la plus exhaustive.

Cette approche apparaît plus utile pour comprendre la nature du risque opérationnel et pour permettre un contrôle interne. Elle est à forte valeur ajoutée car elle intègre des cartographies des risques opérationnels liés aux activités et processus comprenant l'identification, l'analyse et l'évaluation des risques.

Elle permet de contribuer à la connaissance des risques opérationnels au niveau des activités, et au changement comportemental des différents acteurs et notamment les opérationnels.

Toutefois elle présente l'inconvénient de la subjectivité et la consistance des évaluations.

L'idée de base de LDA est assez simple : on considère que la perte annuelle totale d'une banque due au risque opérationnel se compose de deux éléments, la fréquence et la sévérité. Chacune se présente sous la forme d'une distribution statistique. La distribution de fréquence représente l'occurrence d'événements de pertes opérationnelles, c'est-à-dire le nombre de pertes observées. La distribution de sévérité traduit quant à elle l'amplitude de ces pertes, à savoir le montant, en unités monétaires, des pertes individuelles subies par la banque.

L'idée générale de la méthode LDA (Loss Distribution Approach) est de modéliser la perte liée au risque opérationnel pour une période donnée (par exemple, un an) et d'en déduire la valeur en risque. Frachot et al. (2003) proposent de procéder en cinq étapes pour implémenter cette méthode :

Pour cette approche on ne va pas entrer dans la formulation mathématique de ces différentes étapes, mais simplement de comprendre l'idée générale de la méthode LDA.

A l'instar de la plupart des modèles de mesure du risque opérationnel, la LDA se fonde sur une approche actuarielle (fréquence/sévérité) très ancienne largement utilisée dans le domaine de l'assurance pour modéliser des problèmes similaires.

Pour que le modèle LDA puisse tourner, il faut lui fournir deux éléments essentiels : la distribution de la sévérité des pertes (loss severity distribution) et la distribution de la fréquence des pertes (loss frequency distribution). Ces deux distributions, qui forment l'historique des pertes, sont ensuite combinées par une technique statistique appelée « convolution »(Monte Carlo) afin d'obtenir la distribution de la perte totale. Celle-ci étant le résultat de plusieurs pertes successives, il s'agit d'une perte agrégée (aggregate loss distribution).

A partir de la perte totale, on dérive ensuite la perte attendue ou moyenne (expected loss) et la perte exceptionnelle (unexpected loss), pour un niveau de confiance donné. La Figure 5 illustre le principe de la méthode LDA.

L'accord stipule que « un établissement doit faire la preuve que sa mesure du risque opérationnel répond à un critère de solidité comparable à celui de l'approche NI pour le risque de crédit (correspond a une période de détention d'un an et à un intervalle de confiance de 99, 9éme percentile de la distribution de perte agrégées). On utilise souvent cette notion en matière de gestion des risques financiers sous le terme de Valeur-au-risque avec un intervalle de confiance de 99,9%.

Afin de différencier le risque opérationnel du risque de marché ou ce terme est né, nous utiliserons la terminologie « valeur-au-risque opérationnel » ou OpVaR.

Le comité de Bâle a décomposé les OpVaR en deux éléments : la perte attendues PA et les pertes inattendues(PI).

L'appellation « scorecard » regroupe un ensemble d'approche visant à identifier, mesurer et surveiller les risques opérationnels. Ces approches traduisent une évaluation qualitative des risques et des contrôles en une valeur numérique ou score.

L'un des objectifs poursuivis par les banques ayant développé et implémenté une approche Scorecard est de se doter d'un outil permettant de faire le lien entre la mesure et la gestion du risque opérationnel.

Les grandes étapes de mise en oeuvre de la démarche scorecard sont les suivantes :

Evaluation du capital initial en se basant sur une autre approche : celle-ci pourrait être l'approche LDA, l'approche des scénarios, l'utilisation du benchmarking ou une méthode forfaitaire. Il est crucial à ce stade de considérer ce capital initial crédible.

Définition de la structure de la scorecard et sa mise en oeuvre, permettant d'aboutir à un score pour chaque catégorie de risque et pour chaque ligne de service.

Allocation du capital initial aux lignes de service sur base du score et donc des performances de l'organisation en matière de maitrise du risque opérationnel. Par la suite, le capital alloué à chaque ligne de service va varier en fonction de l'évolution des résultats de scorecard. Dans cette approche, le capital initial n'est pas recalculé à chaque évaluation.

Conformément aux exigences du comité de Bâle, les données internes ont également un rôle à jouer dans l'approche scorecard.

Ces données internes et externes sont utilisées à plusieurs niveaux. En effet, elles peuvent être utilisées de la détermination du capital initial en utilisant une approche de distribution de pertes.une autre utilisation intéressante de ces pertes est leur analyse afin d'identifier les facteurs de risques ayant amené à la réalisation de ces pertes est leur analyse afin d'identifier les contrôles internes permettant de réduire l'impact ou de contrôler les facteurs de risque identifiés.

Une fois la scorecard établie et utilisée, les pertes internes et externes peuvent etre utilisées afin de valider la qualité des réponses apportées aux questionnaires. De plus, leur analyse régulière permet de s'assurer que les risques et facteurs de risque associés sont actualisés, ce qui permet de prendre en compte l'apparition de nouveaux facteurs de risque dans l'anlyse. La validation des résultats de la scorecard avec des donnés objectifs est importante, compte tenu des nombreux éléments subjectifs intervenant dans sa construction.

Le Comité de Bâle n'a fourni aucune formulation mathématique pour cette approche. Néanmoins, les groupes de travail au sein des banques ont proposé des formules de calcul du capital réglementaire (K) de la forme :

Avec EI l'indicateur d'exposition (Exposure Indicator), RS le score de risque (Risk Score) et ù un facteur d'échelle (Scale Factor).

L'approche scénarios est en fait un prolongement de l'approche scorecard. Le risque y est envisagé comme une combinaison de la sévérité et de la fréquence des pertes potentielles sur une période donnée. La fréquence et la sévérité (potentielles) de la perte peuvent être mesurées en unités monétaires et en nombre d'occurrences annuelles. Le risque reflète en quelque sorte la vulnérabilité de la banque. L'évaluation du risque devrait par conséquent se focaliser sur les vecteurs de cette vulnérabilité. Or, celle-ci provient pour l'essentiel des facteurs de risque sous-jacents. Réduire le niveau de risque opérationnel impose donc une bonne lisibilité de l'exposition du portefeuille de la banque aux différents facteurs de risque préalablement définis.

L'un des objectifs de l'utilisation de cette approche dans la quantification des risques opérationnels est de fournir une évaluation prospective du risque opérationnel.

En fait, on pourrait considérer que l'évaluation du risque est intrinsèquement liée à l'analyse de scénarios, qui s'applique d'ailleurs également aux risques de marché et de crédit.

De manière générale, les scénarios sont des événements susceptibles de se produire dans l'avenir. Ils expriment l'idée selon laquelle les experts d'une banque ont certaines intuitions ou des informations sur le risque qui ne sont pas contenues dans l'historique de données. Pour être réellement utile à des fins de décision en matière de risque, une analyse de scénarios doit être en mesure de répondre à ces deux questions : à quelle fréquence le scénario X est-il susceptible de se produire ? Quel est le montant de la perte si le scénario X se produit ?

L'axe principal de développement de cette approche est le développement et l'évaluation des scénarios, ces derniers doivent permettre d'évaluer les deux paramètres caractérisant le risque : la fréquence et la sévérité potentielle d'un événement générateurs de pertes.

Cette évaluation nécessite la constitution de scénarios, chaque scénario prenant en considération l'ensemble des facteurs de risque opérationnel.

Parmi les facteurs de risque opérationnel les plus courant, on recense le niveau de compétence/qualification du personnel, l'organisation interne/transferts d'information, l'infrastructure IT ( sécurité des systèmes), les procédures de contrôle des activités non autorisées/vol et fraude/erreurs non intentionnelles ( saisie, exécution et suivi des transactions), les mesures de protection contre des catastrophes et autres sinistres, ou encore, le respect des obligations légales ( conformité, diffusion d'informations et devoir fiduciaire).

En considérant ces différents éléments, la banque va donc générer des scénarios sous forme de questions « what if ».

Pour chaque scénario, l'évaluateur considère plusieurs hypothèses, dont par exemple un cas normal, un cas extrême et un cas catastrophique.

En effet, les scénarios vont se construire en fonction de l'organisation de la banque et de la catégorisation d'événement de pertes. Les facteurs de risque et les indicateurs de risque associés serviront de contexte et de base a l'évaluation des scénarios.

4. Les critères d'agrément pour l'approche standard et l'approche de mesure avancées :

Les critères généraux sont identiques par définition entre les différents approches. Les critères qualitatifs sont quant à eux similaires entre les approches standardisé et complexes, qu'il est préférable de les présenter conjointement.

Ils sont relatifs aux modes d'organisation de la gestion des risques, et représentent en réalité une version synthétique du document « sound practices for the management and supervision of operational risk »qui complète le premier pilier en matière de risques opérationnels. Il vise à assurer un niveau minimum en matière de risques.il est applicable à l'ensemble des établissements, indépendamment de l'approche choisie. Seuls les critères quantitatifs d'agrément sont propres aux approches complexes.

Ces critères doivent être rencontrés par toutes les institutions, quelle que soit l'approche adoptée :

· Participation active du top management de l'établissement (conseil d'administration et direction générale) à la surveillance du dispositif de gestion du risque opérationnel.

· Intégrité dans la mise en oeuvre d'un système sain de gestion des risques.

· Allocation de ressources suffisantes par rapport à l'approche choisie dans les unités principales et à l'audit interne.

Ces critères s'appliquent pour l'approche standardisé lorsqu'elles sont mises en oeuvre par des banques actives au niveau international, ainsi que pour l'approche de mesures complexes :

Définition des rôles : les fonctions et les responsabilités des gestionnaires des risques opérationnels doivent être clairement définies et attribuées. Ils sont responsables de la conception et de la mise en oeuvre du système d'identification, de mesure, de surveillance, d'atténuation et de notification du risque opérationnel au sein de la banque.

Collecte des données : la banque doit enregistrer systématiquement les pertes significatives par catégorie d'activité. Ces informations doivent tenir une place prépondérante dans la notification des données sur les risques dans les rapports adressés à la direction. La banque doit disposer de techniques permettant d'inciter à une meilleure gestion du risque opérationnel dans l'ensemble de l'établissement.

L'exposition aux risques et notamment les pertes importantes doivent faire l'objet d'une notification régulière au top management. Le système de gestion et les procédures doivent faire l'objet d'une documentation correcte et complète au sein de la banque.

Révision périodique : les processus de gestion feront l'objet d'une validation et d'un examen périodique par les auditeurs externes et/ou les autorités de contrôles.

Le comité de Bâle s'abstient délibérément de préciser l'approche, les hypothèses ou les distributions a utilisé pour quantifier le risque opérationnel.

Sa seule exigence est que la banque apporte la preuve que sa mesure du risque opérationnel présente une robustesse suffisante pour couvrir les pertes avec un intervalle de confiance de 99,9%. En d'autre terme le capital réglementaire doit être suffisant pour couvrir les pertes dans 99, 9% des cas possible.

· Le système de mesure interne des risques doit couvrir la totalité des types d'événements de risque opérationnel définis par le comité.

· La banque doit calculer les fonds propres suffisants pour couvrir ses pertes anticipées ou attendues et ses pertes inattendues, sauf si elle fait la démonstration que ses systèmes internes couvrent adéquatement les pertes attendues (parfois appelées pertes moyennes).

· La granularité du système de mesure doit être suffisante pour appréhender les sources de risque affectant les plus grands montants de pertes de la distribution.

· Pour le calcul des fonds propres, les différentes mesures individuelles et de pertes doivent être agrégées « la banque peut toutefois être autorisée à appliquer des corrélations déterminées en interne entre ces estimations individuelles ...la banque doit valider ses hypothèses de corrélation »

· Tout système interne de mesure du risque doit comprendre les éléments- clés suivant : utilisation des données externes pertinentes, analyses de scénarios, prise en compte de facteurs reflétant l'environnement de travail et les systèmes de contrôles internes.

· La banque doit disposer d'un système complet, bien documenté et transparent, décrivant la méthodologie de mesure du risque et justifiant les poids relatifs donnés aux différents éléments décrits au point précédent.

La banque doit collecter ses données internes de pertes, afin de mettre en relation les estimations de risques et les pertes effectives.

La banque doit disposer de procédures claires afin de relier les pertes à un types d'activité ;

L'historique de pertes collectées doit être d'au moins cinq ans, avec une exception de trois années historique pour la première année de la mise en oeuvre de la méthode AMC (en 2007).

Le processus de collectes des données de pertes interne doit répondre aux caractéristiques suivantes :

· La mise en correspondance des données avec les catégories prudentielles définies, tant en terme de types d'événement que de lignes d'activité ; la banque doit donc documenter sa règle de conversion éventuelle entre ses catégories internes et les catégories officielles du comité.

· La fixation d'un seuil de notification des pertes. La banque doit disposer d'un montant minimum de pertes brutes à partir duquel elle notifie la perte. Un montant de 10000 euros est mentionné à titre d'exemple. Le seuil de notification doit être globalement similaire à celui de banques comparables.

· Outre le montant brut rapporté, divulgation d'une information complémentaire dans la notification. La quantité d'information à collecter est liée à l'empileur de la perte.

· Identification d'une clé spécifique pour l'allocation des pertes par ligne d'activité, en particulier pour la survenance d'événements dans les fonctions centrales.

· Isolation des pertes importantes associées au risque crédit et traitement comme résultant d'un incident opérationnel.

· Traitement des pertes opérationnelles liées à un risque de marché comme du risque opérationnel pour le calcul de l'adéquation du capital.

Les critères de données internes détaillent donc les exigences et le processus de collecte de données de pertes internes. Ce sont ces exigences qui ont constitué l'aiguillon le plus puissant pour le démarrage de la mise en place de la gestion de risques opérationnels dans les banques.la nécessité de disposer, au moment de la mise en oeuvre de l'accord, d'un historique de pertes de trois ans minimum a sorti brutalement les banques de leur torpeur et lancé le processus long. Couteux, mais indispensable pour la collecte des données de pertes, qui constitue la pierre angulaire de la modélisation du risque et des outils de sa gestion active.

Le système de mesure du risque opérationnel d'une banque doit utiliser des données externes pertinentes notamment lorsqu'il existe des raisons de croire que la banque est exposée à des pertes peu fréquentes mais potentiellement lourdes, une banque doit disposer d'un processus systématique pour déterminer les situations nécessitant de recourir à des données externes et les méthodologies à utiliser pour incorporer ces données.

D'après le comité de Bâle, la banque doit, sur base de son expérience et d'avis d'experts en gestion des risques, procéder à l'analyse des scénarios, permettant d'obtenir « des évaluations raisonnables des pertes sévères plausibles ».

Outre l'approche quantitative basée sur les données de pertes et les analyses de scénarios, la méthodologie doit intégrer les facteurs de risque pouvant modifier le profil de la banque. La prise en compte de ces facteurs doit répondre aux caractéristiques suivantes :

ü Chaque facteur doit représenter un vecteur de risque pertinent, basé sur l'expérience et sur un jugement d'expert.

ü La sensibilité des risques face à ce facteur, ainsi que le poids de chaque facteur doivent être justifiés.

ü Tous les aspects de l'application de chaque facteur, y compris ses conséquences sur l'ajustement des estimations empiriques, doivent être documentés et soumis à un examen indépendant de la banque. Le résultat modélisé doit être comparé aux données de pertes réelles collectées dans la banque.

CHAPITRE 3 : LA GESTION DU RISQUE OPÉRATIONNEL

Depuis que le comité de Bâle réglemente la gestion du risque opérationnel, nous assistons à une évolution des mentalités et de la manière dont sont gérés les risques opérationnels.

Une gestion intégré au lieu que fragmentée, une perception positive du risque, orienté vers le futur et vers l'apport d'une valeur ajoutée, piloté par des processus avec une couverture large qui englobe tout l'activité.

Au-delà des règles et modèles de mesures des fonds propres réglementaire suffisants pour couvrir au plus juste l'exposition au risque de chaque établissement bancaire, le comité de Bâle et l'ensemble des régulateurs accordent avec raison une importance majeure à la gestion active des risques. La réglementation en matière de risques opérationnels soumet les règles à un ensemble de critère d'agrément caractérisant la fonction de gestion des risques. Elle complète ces règles par un document décrivant les bonnes pratiques à atteindre en matière de gestion des risques opérationnels. En se basant sur les saines pratiques édictées par le comité de Bâle^9(*), quatre étapes clés sont nécessaires pour la gestion du risque opérationnel. L'identification, l'évaluation et le suivi qui vont faire l'objet de la première section et la deuxième section est consacrée aux moyens de maitrise et d'atténuation du risque opérationnel.

SECTION I : L'IDENTIFICATION, L'ÉVALUATION ET LE SUIVI DU RISQUE OPÉRATIONNEL

L'identification est primordiale pour que puissent être développés un contrôle et un suivi viable du risque opérationnel. Identifier les détenteurs du risque ainsi le fait de l'isoler permet d'obtenir une vue globale de tous ces composants et dimensions du risque équivaut à une analyse en profondeur des opérations. Pour réaliser cet exercice Un ensemble d'outils d'identification a été déjà présenté on peut ajouter aussi la réalisation d'un due diligence opérationnel complet qui donnerait le niveau de détail et d'interaction requis pour chaque processus impliqué.

L'évaluation du risque s'appuiera sur la propre analyse et évaluation de la conformité de l'institution avec l'approche utilisée (les approches de mesures convoquées dans le chapitre (2) sur une base entièrement consolidée.

Le processus d'évaluation vise principalement le développement d'une mesure des fonds propres plus sensible aux risques et de meilleures pratiques de gestion du risque opérationnel.

Il s'agit d'une activité inhérente à un suivi dynamique de la gestion des risques.

Selon le comité de Bâle « Les banques devraient mettre en oeuvre un processus de suivi régulier des profils de risque opérationnel et des expositions importantes à des pertes. Les informations utiles à une gestion dynamique du risque opérationnel devraient être régulièrement communiquées à la direction générale et au conseil d'administration. »

Pour une politique dynamique de la gestion du risque, le suivi est primordial. Pour cela, un système de suivi se basera sur les indicateurs clés ainsi que sur les indicateurs d'alerte avancée, très semblables aux fameux KPI (indicateurs de performance).

C'est ici que la gestion des risques opérationnels se distancie quelque peu des autres approches de gestion du risque pour se rapprocher des techniques de performance opérationnelle.

Pour les besoins du suivi, l'approche bottom-up est applicable, ce qui veut dire que les indicateurs clés du risque doivent être définies à plusieurs niveaux de responsabilité. D'ordinaire, un manager ne sera intéressé que par 5 voire 7 indicateurs maximum, ce qui signifie que, comme pour les KPI, il convient de définir des indicateurs différenciés pour les responsabilités stratégiques, tactiques et opérationnelles. Là encore, et bien que définir des indicateurs clés sur base d'une appréciation individuelle soit possible, cet exercice tirera tout son avantage des techniques de simulation qui analyseront les scénarios et testeront les différents cas. Non seulement la pertinence des indicateurs clés sera ainsi avérée, mais leur gestion dynamique dans un environnement en constante évolution sera également simplifiée.

La régularité et la périodicité du suivi va permettre la détection et une réaction rapide contre tout défaillance, insuffisance des politiques, procédure et processus de gestion du risque et tout en s'adaptant a la fréquence et la nature des modification de l'environnement opérationnel.

Les résultats du processus de suivi doivent faire l'objet de rapport, ce dernier doit contenir des données internes (aspects financiers, opérations et conformité), ainsi que des informations externes (de marché) sur les événements et conditions qui peuvent influencer le processus de décision. Les rapports devraient être distribués aux niveaux hiérarchiques appropriés.

SECTION II : LES MOYENS DE MAITRISE ET ATTÉNUATION DU RISQUE OPÉRATIONNEL

Selon le comité de Bâle : Les banques devraient adopter des politiques, processus et procédures pour maîtriser et/ou atténuer les sources importantes de risque opérationnel. Elles devraient réexaminer périodiquement leurs stratégies de limitation et de maîtrise du risque et ajuster leur profil de risque opérationnel en conséquence par l'utilisation de stratégies appropriées, compte tenu de leur appétit pour le risque et de leur profil de risque globaux. »

En effet, pour tous les risques opérationnels qui ont été identifié, la banque devrait pouvoir décider si elle dispose des procédures appropriées pour contrôler et /ou atténuer les risques, ou si elle si elle supporte ces risques. Pour les risques qui ne peuvent pas être contrôlé, la banque devrait décider si elle accepte ces risques (faire recours a l'assurance), si elle réduit le niveau d'activité économique impliquée, ou si elle se retire complètement de cette activité. Pour cela on doit disposer de processus et procédures de contrôle et d'un système assurant la conformité des opérations à un ensemble de politique interne dument documenté concernant la gestion du risque.

Le renforcement du système de contrôle est un élément clé pour la maitrise du risque donc il semblé logique la mise en place d'un système de contrôle interne.

La mise en place d'un dispositif de contrôle interne pour la maîtrise du risque opérationnel nécessite que les principes suivants soient définis :

v La définition d'un organigramme détaillé, précisant les pouvoirs et les responsabilités, cet organigramme doit faire apparaître les différentes fonctions et les noms de leurs responsables. Chaque responsable d'entité a ainsi le devoir de mettre en place un système de contrôle interne efficace, en coordination avec les autres structures de la banque, tutelles fonctionnelles et hiérarchiques. Plus généralement il concerne l'ensemble des collaborateurs, quel que soit leur niveau de responsabilité.

v La séparation des fonctions qui a pour objectif, par une organisation adéquate ou un rattachement hiérarchique différent, d'éviter qu'une personne ou un groupe de personnes cumulent les fonctions d'engagement, de règlement, d'enregistrement et de contrôle dans un même processus opérationnel. Elle permet ainsi de prévoir une distinction nette entre celui qui décide et celui qui exécute, entre celui qui opère et celui qui valide tout en offrant une garantie d'un contrôle indépendant et permanent sur l'activité. L'objectif recherché est de prévenir et dissuader, ou à défaut de permettre une détection sans retard des erreurs ou des irrégularités commises.

v Définition des postes, pouvoirs et responsabilités : consiste à préciser à chaque niveau d'exécution l'origine des informations à traiter, la liste des tâches à effectuer, (les modalités d'enregistrement de traitement, de restitution des informations, les procédures de contrôle associées à chaque étape), la périodicité des traitements et les destinataires des informations traitées (compte-rendu des travaux).Cette description doit être complétée par un système d'autorisations et de délégations de pouvoirs de signatures qui définit les limites d'engagement par personne ou par organe décisionnel et les différents niveaux d'approbation requis selon le type d'engagement.

v Le descriptif des processus opérationnels : qui doit préciser les modalités de circulation de traitement et de classement des informations. Il est réalisé sous la forme d'un diagramme de circulation des informations décrivant les étapes successives et logiques de traitement des opérations et d'un narratif décrivant (la nature des informations à traiter, le traitement de l'information, les documents supports de l'information, les tâches rattachés à chaque poste de travail, la destination des informations produites).

Les contrôles de 1^er niveau regroupent tous les contrôles permanents (à priori et à posteriori) mis en oeuvre au niveau de chaque entité opérationnelle et permettant de vérifier l'exhaustivité et la régularité des opérations traitées. Ils comprennent, des contrôles quotidiens qui assurent la sécurité et la qualité des opérations traitées et qui reposent sur le respect permanent des règles et procédures en vigueur (séparation des fonctions, délégation de pouvoirs et signatures, etc.) et une supervision formalisée par la hiérarchie pour vérifier la correcte application des règles et procédures au quotidien.

Pour les processus opérationnels longs, le contrôle de 1^er niveau peut être assuré par plusieurs services ou personnes.

Les contrôles de 2^ème niveau sont confiés à toute personne ou organe chargé de vérifier périodiquement que les contrôles de 1^er niveau sont correctement réalisés : contrôle du fonctionnement de la surveillance permanente, de vérifier l'application des procédures, d'apprécier la qualité des traitements effectués et de s'assurer de la prise en compte des exigences de contrôle interne.

A ce titre, le contrôle interne dispose de plusieurs dispositifs visant la maitrise du risque.

· Limite des risques, prévoyant la fixation de limites globales et opérationnelles, la revue, la mesure, le suivi des dépassements et des régularisations ;

Le contrôle interne est assuré par différents composantes de l'organisation et a pour objectif premier de s'assurer que les opérations sont traitées et gérées, conformément aux normes, aux règles et aux procédures en vigueur. Dans ce dispositif, l'audit interne consacre l'essentiel de ses missions, à vérifier que ces procédures sont à jour et que les opérationnels les ont comprises et les appliquent totalement, au quotidien, d'où une nouvelle organisation de la gestion des risques opérationnels par l'audit interne.

L'Audit Interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, de gouvernement d'entreprise, et en faisant des propositions pour renforcer leur efficacité.

D'un point de vue général, l'Audit Interne intervient sur les domaines suivants :

v L'examen et l'évaluation de l'efficacité des dispositifs de contrôle interne ;

v Le contrôle de l'application et de l'efficacité des procédures de management du risque et méthodes de mesure de risque ;

v Le contrôle de la sincérité et de la fiabilité des enregistrements comptables et des rapports financiers ;

v Les tests à la fois sur les opérations et le fonctionnement des procédures spécifiques de contrôle interne ;

v Le contrôle des dispositifs mis en place pour s'assurer qu'ils sont conformes aux exigences légales et réglementaires, aux codes de conduite, et à la mise en oeuvre des politiques et procédures ;

v Le contrôle de la sincérité, de la fiabilité et de l'opportunité des reportings réglementaires

L'Audit Interne dans les banques évolue vers un rôle d'acteur de premier plan, en charge en particulier de la conduite du changement et de la gestion des risques. Toutefois le respect de certains principes conditionne le succès de ses missions.

· Le service d'Audit Interne doit être en mesure d'exercer sa mission de sa propre initiative dans tous les services, les établissements et les fonctions de la banque. Il doit être libre de faire un rapport sur ses résultats et évaluations et de les communiquer en interne. Le principe d'indépendance implique le rattachement du service audit interne, soit au président de la banque, soit au conseil d'administration, soit à son comité d'audit.

· Toutes les banques devraient disposer d'une charte d'audit qui mette en valeur le statut de l'autorité de la fonction d'audit interne au sein de l'établissement de crédit. Ceci revient à fixer les objectifs et le champ d'intervention de l'audit interne, ses positions dans l'organisation, et la responsabilité du responsable de l'audit interne.

· La fonction d'audit interne doit être objective et impartiale, ce qui signifie que l'audit doit pouvoir effectuer ses missions sans préjugé et sans subir de pression. Pour être objectif et impartial le service d'audit interne doit-lui même chercher à éviter tout conflit d'intérêt. A cette fin les missions d'auditeurs doivent changer périodiquement chaque fois que c'est possible.

· Le service d'audit interne doit se préoccuper des dispositions légales et réglementaires qui régissent les opérations de la banque, les politiques principes, règles, lignes de conduite interne édictées par les autorités de tutelle relatives à l'organisation et à la gestion des banques. Cependant cela ne signifie pas que l'audit interne doit assumer les fonctions de contrôle de la conformité.

· Le service de l'audit interne doit évaluer en particulier, la conformité de la banque à la réglementation et aux contrôles des risques (quantifiables et non quantifiables), la fiabilité y compris (l'intégrité, l'exactitude et l'exhaustivité) ainsi que la disponibilité en temps opportun de l'information financière et de celle destinée au management, la continuité et la fiabilité des systèmes d'information et l'organisation des services.

La gestion du risque opérationnel par l'audit interne se base sur les étapes suivantes :

v Une identification préalable du risque, cela implique une définition claire et unique de la notion risque opérationnel, tout en précisant avec détail le champ des risques qu'il couvre. A cet égard les départements d'Audit Interne ne peuvent se lancer dans un tel travail, s'ils ne sont pas en mesure de connaître les activités, les objectifs et la stratégie de l'établissement de crédit, de réfléchir au delà du cadre réglementaire et intégrer la réalité d'un environnement en très forte mutation, et enfin d'enrichir cette démarche en impliquant dans ce processus les responsables métiers et les opérationnels .

v Une diffusion de la culture du contrôle interne vers les opérationnels, une fois les risques identifiés sont cartographiés, hiérarchisés, et codifiés dans des procédures. L'étape suivante consiste de à s'assurer que le dispositif du contrôle interne est efficace de façon continue et que le risque est correctement maîtrisé. Pour cela la mise en place des programmes d'auto évaluation du dispositif apparaît une nécessité, et les moyens de contrôle à mettre en oeuvre seront de deux ordres :

Des check-lists (normatives) des contrôles que doivent remplir périodiquement les opérationnels et qui leur rappellent les étapes essentielles à suivre. Ces check-listes peuvent être assimilés à des carnets de bord.

Des indicateurs des contrôles clés de l'établissement qui doivent être définis, en commun, entre l'audit interne et les responsables opérationnels, ces indicateurs peuvent être de deux natures « qualitative » : (rapprochement des positions et résultat économique et comptable par exemple) ou « quantitatives » : (nombre d'opérations non confirmées, nombre d'opérations en suspens dans les comptes règlements-livraison, nombre d'opérations rejetées par le système comptable, etc.).

Ces indicateurs peuvent être fixés soit en valeur absolue, soit en pourcentage du nombre d'opérations traitées, soit de manière plus fine en fonction des activités.

Le suivi de ces indicateurs de contrôle va permettre aux responsables opérationnels de détecter les erreurs, les anomalies et les dysfonctionnements qui peuvent causer d'énormes pertes et le cas échéant de prendre les mesures correctrices nécessaires.

v Un service d'Audit Interne : dans ce contexte la fonction audit interne est assurée par un département expert qui pourra à tout moment disposer d'indicateurs (résultants des programmes d'auto évaluation) de mesure de la qualité des contrôles fondamentaux qui permettent de maîtriser les risques clés.

Certains établissements ont mené une réflexion pour mettre en place des programmes d'auto évaluation du risque opérationnel.

Le comité prévoit autres pratiques internes afin de maitriser le risque opérationnel :

§ La surveillance étroite du respect des limites de risque ou des seuils assignés

§ La mise en place des mesures de protection pour l'accès et l'utilisation des actifs et des informations de la banque.

§ S'assurer que le personnel à l'expertise et la formation adaptées et veuilles a une mise a jour.

§ L'identification des branches ou des produits de l'activité dont les résultats semblent être en dehors des attentes raisonnables.

§ S'assurer que l'infrastructure du contrôle de gestion des risques suit la croissance de l'activité.

En matière de maîtrise du risque opérationnel de faible probabilité mais a un impact financier très lourd on peut opter pour d'autres techniques d'atténuation et de transfert de risques, par l'intermédiaire des polices d'assurances contre des évènements externes de risques tels que les incendies, les tempêtes....ou par la signature des contrats plus spécifiques et personnalisés contre le risque opérationnel qui y sont proposés pour se prémunir contre des menaces internes de risques tel que les fraudes ou les défaillances dans un système informatique.

L'externalisation de certains activités peut réduire le profil de risque d'un établissement en transférant certaines activités spécialisées à des entreprises qui ont plus d'expertise et d'envergure pour gérer les risques qui y sont associés.

Il convient aussi d'examiner soigneusement dans quelle mesure les instruments d'atténuation comme l'assurance et l'externalisation réduisent vraiment le risque, ou le transfèrent à un autre secteur ou domaine d'activité, voire s'ils ne créent pas un nouveau risque (par exemple, risque juridique ou risque de contrepartie).

L'investissement en technologie de traitement de l'information peut également apparaitre comme un dispositif d'atténuation du risque. En fait un bon système d'information fiable et sécurisant est un élément clé pour la gestion et maitrise du risque du fait que l'informatique et les processus de traitement et d'acheminement de l'information sont des sources potentielles et non négligeable du risque opérationnel.

Selon le comité « Les banques devraient mettre en place des plans de secours et de continuité d'exploitation pour garantir un fonctionnement sans interruption et limiter les pertes en cas de perturbation grave de l'activité ».

Les plans de secours d'exploitation se sont basés, pour leur rédaction, sur des listes de fonctions prioritaires, classées en fonction des risques financiers, légaux et commerciaux potentiels induits par une interruption des opérations. Une organisation de secours cible est alors été mise sur pied, en même temps que des lieux et des systèmes de backup alternatifs. En règle générale, en raison des coûts associés à une telle procédure d'urgence, des tests sont exécutés de manière aléatoire. Il n'y a donc aucune certitude quant au bon fonctionnement des ces procédures d'urgence, dans le mesure où les interdépendances n'ont pas été vérifiées, l'élaboration de cas virtuels autour des mesures d'urgence pourrait s'avérer extrêmement intéressante.

La gestion des risques opérationnels est devenue une discipline à part entière, en termes organisationnels, cela se matérialise par la création d'une fonction de gestion du risque opérationnel.

La fonction de gestion du risque opérationnel est un acteur clé du processus de contrôle chargé de veiller à l'existence et à l'efficacité des dispositifs permettant de maitriser les risques opérationnels. Le gestionnaire des risques opérationnels a la mission d'identifier, d'évaluer, la surveillance et la maitrise du risque. Il propose, met en place, maintient et fait évoluer en fonction des risques le dispositif de contrôle interne de l'entité, de la direction opérationnelles ou fonctionnelle ou de la ligne métier dont il est chargé. Il est assisté des autres acteurs du contrôle interne (management opérationnel et fonctionnel, direction des risques, pilotage du contrôle interne et audit)

7. Les objectifs à atteindre à travers les moyens de la gestion du risque opérationnel :

Une valeur ajoutée est perçue de La mise en oeuvre d'un processus de gestion du risque opérationnel, cette valeur ajoutée est susceptible de provenir de différents éléments complémentaires :

· Les démarches qualitatives d'identification et d'évaluation des risques opérationnels permettent de sensibiliser et de responsabiliser les agents opérationnels en termes de gestion des risques

· Une méthode de quantification des risques opérationnels plus précis permet

a. De mettre en évidence le cout des risques opérationnels (notion de pertes attendues) et donc de l'intérêt dans la tarification des produits

b. D'identifier les expositions aux risques importantes (pertes inattendues) et donc la consommation de fond propres

c. De fournir en combinant ces deux éléments, un cadre pour l'analyse cout-bénéfice (éviter le sur-contrôle).

· L'analyse systématique des sources et causes des pertes opérationnelles entraine :

· Une meilleure connaissance des risques et un calcul plus précis, de type actuariel des risques permettent une rationalisation des programmes d'assurance.

· Une approche disciplinée et structurée de collecte des incidents contribue à l'établissement de la culture d'entreprise vis-à-vis du risque.

Afin d'assurer une mise en oeuvre effective délivrant la valeur ajouté promise, l'implémentation de la gestion des risques doit répondre à certains facteurs clef de succès qui sont les suivants :

· Une définition claire des rôles et des responsabilités en matière de gestion des risques opérationnels.

DEUXIÈME PARTIE : LA DÉMARCHE SUIVIE PAR LE MAROC ET LA TUNISIE POUR LA GESTION DU RISQUE OPÉRATIONNEL CONFORMÉMENT AUX EXIGENCES DE BÂLE II

Partie II : La démarche suivie par le Maroc et la Tunisie pour une gestion du risque opérationnel conformément aux exigences de Bâle II

Le système monétaire et financier est un système international et globalisé, et dans ce cadre la réforme de Bâle II ne concerne pas uniquement les pays européens ou bien ceux du G10, le nouvel accord de Bâle II s'applique également aux pays émergents ; c'est le cas pour le Maroc et la Tunisie.

Le Maroc et la Tunisie comme deux pays en voie développement ont opté pour l'application des directives baloises au sein de leur banques puisque les normes exigées par Bâle II apparaissent tout d'abord comme :

§ Une nécessitée afin de montrer la dynamique du pays et son intégration dans les standards internationaux.

§ Le dispositif de Bâle II permet une véritable mise à niveau du système financier des pays.

§ Ce nouveau cadre de référence des risques est souvent jugé comme un catalyseur qui favorise de toute évidence le développement économique du pays.

§ La note souveraine d'un pays octroyé par les organismes de notation international intègre (indirectement la question d'adoption des règles de Bâle II

Et dans cette perspective on va exposer dans ce qui suit les mesures prises par la banque centrale des deux pays pour la gestion du risque opérationnel.

Les établissements de crédit sont confrontés à plusieurs risques qui peuvent être regroupés en deux grandes catégories : Les risques spécifiques liés directement à l'activité : risque de crédit, risque de marché et risques opérationnels qui sont régis par le pilier 1 de l'accord de Bâle II « Exigences minimales de fonds propres » et les risques structurels ou de bilan : notamment le risque global de taux d'intérêt, risque de liquidité et risque de concentration qui sont régis par le pilier 2 de l'accord de Bâle II « Processus de surveillance prudentielle ».

Et que le risque opérationnel fut la nouveauté de cet accord. Il est définit pour la première fois comme un risque à part entière.

« Risques opérationnels : correspondent aux risques de pertes résultant de carences ou de défauts attribuables à des procédures, personnels et systèmes internes ou à des événements extérieurs. Cette définition inclut le risque juridique, mais exclut les risques stratégiques et de réputation. Les sources majeures des risques opérationnels peuvent être liées aux fraudes internes et externes, pratiques inappropriées en matière d'emploi et de sécurité sur les lieux de travail, pratiques inappropriées concernant les clients, les produits et l'activité commerciale, dommages causés aux biens physiques, interruptions d'activités et pannes de systèmes et aux exécutions des opérations, livraisons et processus. »

Les exigences en fond propres concernant ce risque ont pour vocation de couvrir le potentiel de perte pouvant survenir d'une défaillance attribuable au facteur humain (Vol, fraude interne...), au système d'information (Panne du système informatique...) ou d'événements extérieurs.

Le risque opérationnel est généralement le deuxième risque le plus consommateur en fonds propres après le risque de crédit.

Le comité de Bâle propose trois approches pour calculer l'exigence en fonds propres réglementaires, par ordre croissant de complexité et de sensibilité au risque : approche indicateur de base, approche standardisée et approche de mesures complexes.

- Approche Indicateur de Base : Purement forfaitaire, elle consiste à pondérer la moyenne des produits annuels bruts positifs des trois années par un coefficient, fixé par le comité à 15%.

- Approche standard : les activités de la banque sont réparties en huit lignes d'activités. Les revenus bruts de chacune sont un indicateur de l'activité et donc du risque opérationnel. La charge totale en fonds propres relatifs au risque opérationnel est égale à la moyenne, sur 3 ans, du simple cumul de l'exigence en fonds propres de chaque ligne d'activité pour chaque année pondérée de son facteur bêta divisé par 3. Néanmoins, lorsque pour une année donnée la charge en capital est négative, elle sera prise pour zéro. Le comité a précisé pour chacune des 8 lignes de métier son facteur bêta (12%<ß<18%).

- Approches de mesure Avancée (AMC): Selon les AMC, l'exigence de fonds propres réglementaire équivaut à la mesure du risque opérationnel produite par le système interne de la banque, sur la base des critères quantitatifs et qualitatifs. La banque détermine elle-même ses besoins en fonds propres par des modèles internes. En ce qui concerne cette « famille » d'approches, rien n'a été déterminé par le comité à l'exception des critères pour convaincre les autorités de l'efficacité de son système d'évaluation.

Le comité de Bâle a publié un document qui expose un ensemble de principe a utilisé par les banques afin de régir un dispositif de gestion et de surveillance efficace du risque opérationnel.

SECTION I : LES DISPOSITIONS PRISES PAR LE MAROC ET LA TUNISIE POUR ASSURER UNE GESTION DU RISQUE OPÉRATIONNEL CONFORME AUX EXIGENCES DE BÂLE II

Au Maroc, BANK AL MAGHRIB, en tant que banque centrale nationale, a arrêtée les dispositions nécessaires pour l'application des directives Bâloise dans les banques marocaines et cela, par l'organisation d'ateliers de travail pour fixer les discrétions nationales (Transposition législative ou réglementaire des recommandations bâloises à chaque pays par sa propre banque centrale) ; débouchant à la diffusion de plusieurs circulaires réglementant la gestion des risques.

Selon le rapport de banque AL MAGHRIB publié en 2007 le nombre d'établissements de crédit et organismes assimilés est de 76 et se présente comme suit :

Bank Al Maghreb a adopté une démarche pragmatique et progressive qui tient compte de la structure du système bancaire et répond le mieux possible à ses besoins pour la transposition de Bâle2. Cette démarche est de nature à inciter à adopter les meilleures pratiques en matière de gestion des risques qui est ouverte sur les différentes approches de calcul des exigences en fonds propres, proposées par le Comité de Bâle.

En effet pour l'implantation de Bâle II au Maroc des travaux préparatoires de la mise en oeuvre des dispositions du Nouvel accord ont été structurés dans le cadre de six commissions techniques mixtes constituées de représentants de Bank Al-Maghrib et des banques, avec la présence d'un représentant du Ministère des finances.

Chacune de ces commissions techniques a été chargée de l'examen d'un aspect particulier du nouveau dispositif (risques de crédit, risques de marché, risques opérationnels, pilier 2, pilier 3 et relation Bâle II et normes IFRS). Les travaux de ces commissions techniques se sont déroulés conformément au planning établi par Bank Al-Maghrib.

Les propositions des commissions techniques sont validées par un comité de pilotage, composé de responsables de la Direction de la Supervision Bancaire et des Directions Générales des banques.

L'adoption des approches standards au titre des risques de crédit, de marché et opérationnels par les principales banques marocaines est effective depuis le deuxième semestre de l'année 2007, conformément au planning prévu initialement.

En vue d'une meilleure gestion des risques encourus par les établissements de crédit, Bank Al-Maghrib a édicté, en 2007, un ensemble de circulaires et directives. Elle a également renforcé son dispositif de surveillance via des reporting spécifiques et des enquêtes périodiques.

Pour une meilleure gestion du risque opérationnel, Bank Al-Maghrib a édicté un ensemble de circulaire et de directives.

v Le circulaire 26/G/2006 relatif aux exigences en fonds propres au titre du risque opérationnel.

Les banques sont tenues de calculer, sur base individuelle et consolidée, les exigences de fonds propres nécessaires pour la couverture de leurs risques opérationnels conformément aux approches décrites dans les articles suivants.

Article 56

On entend par risque opérationnel, le risque de pertes résultant de carences ou de défaillances inhérentes aux procédures, au personnel et aux systèmes internes ou à des événements extérieurs. Cette définition inclut le risque juridique, mais exclut les risques stratégiques et de réputation.

Article 57

Les établissements sont tenus de calculer l'exigence en fonds propres nécessaire pour la couverture de leurs risques opérationnels conformément à l'une des trois approches suivantes :

- l'approche indicateur de base ;

- l'approche standard ;

- l'approche standard alternative.

Le choix de l'une des deux dernières approches est conditionné par l'autorisation préalable de Bank Al-Maghrib.

I) calcul de l'exigence en fonds propres selon l'approche indicateur de base

Article 58

L'exigence en fonds propres, selon l'approche indicateur de base, est égale à 15 % de la moyenne du

produit net bancaire, calculée sur 3 ans.

Cette moyenne est déterminée sur la base des trois derniers produits nets bancaires, calculés sur une période d'un an, arrêtés à fin juin ou à fin décembre de chaque exercice.

Seuls les produits nets bancaires positifs sont pris en considération dans le calcul de cette moyenne.

II) calcul de l'exigence en fonds propres selon l'approche standard

Article 59

Pour l'application de l'approche standard, les établissements sont tenus de ventiler leurs activités en huit lignes de métier telles que précisées à l'article 60 ci-dessous.

L'exigence globale en fonds propres est égale à la moyenne sur trois ans des sommes des exigences en fonds propres de toutes les lignes de métier pour chaque année.

Cette moyenne est déterminée sur la base des trois dernières exigences en fonds propres, calculées sur une période d'un an, arrêtées à fin juin ou à fin décembre de chaque exercice.

L'exigence en fonds propres correspondant à une année donnée, est égale à la somme des produits nets bancaires, positifs ou négatifs, des huit lignes de métiers, multipliée par le coefficient de pondération correspondant, tels que précisés à l'article 60 ci-dessous.

Lorsque l'exigence en fonds propres, au titre d'une année donnée, est négative, elle est prise en compte en tant que valeur nulle.

Article 60

Les lignes de métiers visées à l'article 59 ci-dessus et les coefficients de pondération correspondants sont les suivants :

Lignes de métiersCoefficient de pondérationFinancement des entreprises18 %Activités de marché18 %Banque de détail12 %Banque commerciale 15 %Paiement et règlement 18 %Courtage de détail 12 %Service d'agence15 %Gestion d'actifs12 %Article 61

L'utilisation de l'approche standard est subordonnée au respect préalable des recommandations édictées par Bank Al-Maghrib en matière de gestion des risques opérationnels.

III) calcul de l'Exigence en fonds propres selon l'approche standard ALTERNATIVE

Article 62

L'exigence en fonds propres, selon l'approche standard alternative, est égale à la somme des exigences en fonds propres pour les lignes de métiers « banque de détail » et « banque commerciale » et de celles des six autres lignes de métiers.

L'exigence en fonds propres relative aux lignes de métiers « banque de détail » et « banque commerciale » est égale à la moyenne, sur trois ans, des encours de crédit bruts pondérés par 15 %, multipliée par 0,035.

Cette moyenne est déterminée sur la base des trois derniers encours de crédit, calculés sur une période d'un an, arrêtés à fin juin ou à fin décembre de chaque exercice.

L'exigence en fonds propres relative aux six autres lignes de métiers est égale à la moyenne, sur trois ans, du produit net bancaire correspondant à ces lignes de métiers, affectée d'un coefficient de pondération de 18 %.

Cette moyenne est déterminée sur la base des trois derniers produits nets bancaires, calculés sur une période d'un an, arrêtés à fin juin ou à fin décembre de chaque exercice.

Le circulaire n° 26/G/2006 relative aux exigences en fonds propres portant sur les risques de crédit, de marché et opérationnels transpose les normes du Nouvel accord sur les fonds propres (Bâle II).

Le circulaire relative au contrôle interne des établissements de crédit datant de 2001 a fait l'objet d'une refonte, en vue d'une plus grande convergence avec les normes prévues en la matière par le Comité de Bâle notamment celles découlant du Nouvel accord sur les fonds propres (Bâle II) et des 25 principes fondamentaux pour un contrôle bancaire efficace tels que révisés.

Un ensemble d'aménagements apportés à l'ancien cadre ont donné lieu au circulaire N°40/G/2007 relative au contrôle interne qui a pour but principale le renforcement du système de contrôle interne des établissements de crédits.

En faite tout établissement de crédit est tenus de mettre en place un système de contrôle interne adopté à sa taille ainsi qu'a la nature, au volume et à la complexité de ces activités.

Le système consiste en un ensemble de dispositif conçus et mis en oeuvre par l'organe de la direction (direction générale, directoire ou toute autre instance équivalente) et valider par l'organe d'administration (conseil d'administration, conseil de surveillance ou toute autre instance équivalente) en vue d'assurer en permanence, notamment :

o la fiabilité des conditions de collecte, de traitement, de diffusion et de conservation des données comptables et financières.

o l'efficacité des canaux de circulation interne de la documentation et de l'information ainsi que de leur diffusion auprès des tiers.

Les établissements doivent s'assurer que les systèmes de contrôle interne mis en place remplissent les caractéristiques suivantes :

o cohérents et compatibles de manière à permettre une surveillance et une maîtrise des risques au niveau du groupe et la production des informations requises par Bank Al-Maghrib dans le cadre de la surveillance consolidée de l'établissement.

o adaptés à l'organisation du groupe ainsi qu'à l'activité des entités contrôlées.

Le circulaire décrit les dispositifs de conception et de mise en oeuvre et suivi des activités de contrôle interne, l'Amélioration de la gouvernance au sein des établissements de crédit en renforçant notamment le rôle du comité d'audit et de l'audit interne dans la surveillance du dispositif de contrôle interne et l'obligation d'avoir un dispositif de mesure, de maitrise et de surveillance des risques.

Le circulaire sur le contrôle interne reprend la définition des risques opérationnels telle qu'elle est formulée par le Nouvel accord sur les fonds propres et insiste sur la nécessité d'une part, de mettre en place des dispositifs de mesure, de maîtrise et de surveillance des risques opérationnels et d'autre part, de disposer d'un plan de continuité d'activité de nature à permettre d'assurer le fonctionnement continu des activités et de limiter les pertes en cas de perturbations dues aux événements majeurs liés aux risques opérationnels. Elle prévoit également la désignation d'un responsable du plan de continuité d'activité chargé de la mise en oeuvre des mesures qui s'y rapportent.

A cet égard et dans le cadre de l'implémentation de Bâle II, Bank Al-Maghrib a procédé à la publication de deux directives qui s'inspirent des recommandations du Comité de Bâle en la matière.

Une directive relative à la gestion des risques opérationnels reprend l'ensemble des principes devant régir le dispositif de gestion et de surveillance des risques opérationnels. Elle met l'accent sur la nécessité, pour les établissements de crédit, d'avoir une compréhension parfaite de ces risques et d'en établir une cartographie précise, tout en prévoyant dans le système de contrôle interne des dispositifs spécifiques visant à surveiller périodiquement l'efficience du système de gestion des risques opérationnels.

Cette directive constitue un référentiel de saines pratiques pour la mise en place par les établissements de crédit d'un dispositif de gestion des risques opérationnels à même de leur permettre d'identifier les sources potentielles de tels risques et d'en assurer la mesure, le suivi, le contrôle et l'atténuation en rapport avec leurs tailles et profils de risque ainsi que la complexité de leurs activités.

· Surveillance des risques opérationnels par les organes d'administration et de direction.

· Système d'identification, de mesure, de suivi, de maîtrise et d'atténuation des risques opérationnels.

Les établissements de crédit souhaitant adopter les approches standard ou alternative au titre des dispositions portant sur les risques opérationnels de la circulaire 26/G/2006 précitée, devront se conformer aux principes de ladite directive.

Selon la Directive relative au dispositif de gestion des risques opérationnel

II- Définition des risques opérationnels

Aux termes de l'article 56 de la circulaire 26/G/2006, les risques opérationnels sont définis comme étant les risques de pertes résultant de carences ou de défaillances inhérentes aux procédures, au personnel et aux systèmes internes ou à des événements extérieurs.
Cette définition inclut le risque juridique, mais exclut les risques stratégiques et de réputation.

III- Sources potentielles des risques opérationnels

Les dispositifs de gestion des risques opérationnels permettent d'identifier l'ensemble des sources majeures des risques opérationnels et de couvrir au moins celles mentionnées ci-après :
- Fraude interne : Tout acte impliquant au moins une partie interne à l'établissement et visant à détourner des biens, des règlements ou des paiements, ou à contourner des dispositions légales ou réglementaires (informations inexactes sur les positions, vol commis par un employé, opérations ou activités non autorisées, transactions sciemment non notifiées, détournement de fonds, falsification de documents, délit d'initié, commissions occultes,...).
- Fraude externe : Tout acte imputable à des tiers visant à détourner des biens, des règlements ou des paiements, ou à contourner des dispositions légales ou réglementaires (vol, fraude, dommages liés au piratage informatique, contrefaçon, falsification de chèques,...).
- Pratiques inappropriées en matière d'emploi et de sécurité sur les lieux de travail : Tout acte non conforme au code du travail ou aux conventions collectives relatives à l'emploi, la santé ou la sécurité des employés, ou susceptible de donner lieu à des demandes d'indemnisation au titre d'un dommage personnel, d'atteinte à l'égalité des employés ou d'actes de discrimination, d'activités syndicales ou de responsabilité civile d'une manière générale.
- Pratiques inappropriées concernant les clients, les produits et l'activité commerciale : Tout manquement, non intentionnel ou dû à la négligence, à une obligation professionnelle envers des clients ou imputable à la nature ou la conception d'un produit donné (violation de la confidentialité des informations sur la clientèle, blanchiment de fonds, exercice illégal de certaines activités soumises à agrément, vente agressive, dépassement des limites d'exposition autorisées pour un client,..).
- Dommage aux biens physiques : Destructions ou dommages résultant d'une catastrophe naturelle ou d'autres sinistres (vandalisme, terrorisme,...).
- Interruption d'activité et pannes de systèmes : dysfonctionnement de l'activité (interruption ou perturbation d'un service) ou des systèmes (matériel informatique, logiciel, télécommunication,...).
- Inexécution des opérations, livraisons et processus : problèmes dans le traitement d'une opération ou dans la gestion des processus ou des relations avec des fournisseurs et d'autres contreparties commerciales (données incorrectes ou erronées sur des clients, pertes ou endommagement d'actifs de la clientèle, documentation légale insatisfaisante, gestion des sûretés inadéquate, inexactitudes dans les rapports externes,...).

IV- Surveillance des risques opérationnels par les organes d'administration et de direction

A- Organe d'administration

L'organe d'administration (conseil d'administration, conseil de surveillance ou toute instance équivalente) approuve la mise en place du dispositif de gestion des risques opérationnels en tant que catégorie de risques distincte. A cet effet, il définit de manière claire et précise les orientations et principes sous-tendant le dispositif devant être mis en place par l'organe de direction et approuve les politiques y afférentes élaborées par ce dernier.
Le dispositif de gestion des risques opérationnels prend en compte le niveau acceptable, par l'établissement, de tels risques, en précisant les politiques de leur gestion et la priorité donnée à leur mise en application, ainsi que les conditions dans lesquelles la gestion de ces risques peut être éventuellement confiée à une entité externe à l'établissement. Le dispositif comporte également des politiques définissant la méthodologie d'identification, d'évaluation, de suivi et de maîtrise et/ou d'atténuation des risques. Le niveau de formalisation et de complexité de ce dispositif doit correspondre au profil de risque de l'établissement. Il définit, en outre, les processus essentiels à mettre en place pour la gestion de ces risques.
L'organe d'administration peut confier à un comité ad hoc la charge de la mise en oeuvre du dispositif de gestion des risques opérationnels de l'établissement. Il veille également à la mise en place d'un contrôle interne solide. A cet effet, il est particulièrement important que soient définis de manière claire les niveaux de responsabilité et de reporting en distinguant les fonctions de contrôle des risques, les unités opérationnelles et les fonctions support afin d'éviter tous conflits d'intérêts.
L'organe d'administration procède, régulièrement, à l'évaluation du dispositif mis en place pour s'assurer de la bonne prise en charge des risques opérationnels résultant d'évolutions extérieures ainsi que de ceux liés aux produits, activités ou systèmes nouvellement mis en place. Ce réexamen a pour objet de déterminer les pratiques les mieux adaptées aux activités, systèmes et processus de l'établissement. L'organe d'administration veille à ce que le dispositif de gestion des risques opérationnels soit révisé à la lumière de cette analyse, de façon à prendre en compte les risques opérationnels importants.

B- Organe de direction

L'organe de direction (direction générale, directoire ou toute instance équivalente) assure la déclinaison du dispositif de gestion des risques opérationnels, tel qu'agréé et validé par l'organe d'administration, en politiques, processus et procédures précis pouvant être appliqués et contrôlés au sein des diverses entités de l'établissement. Il veille également à doter les fonctions ou services, en charge de cette mission, des ressources appropriées et à évaluer l'adéquation du processus de surveillance de cette gestion au regard des risques inhérents à l'activité de chaque unité de l'établissement.
L'organe de direction s'assure, en outre, que les agents dédiés aux activités bancaires disposent de l'expérience professionnelle et de l'expertise technique requises et que les préposés au contrôle du respect de la politique en matière de risques opérationnels soient investis d'une autorité indépendante à l'égard des unités qu'ils surveillent.
Il veille, de même, à la diffusion de la politique de gestion des risques opérationnels au profit de l'ensemble du personnel et à la mise en place de canaux garantissant une communication efficace entre le responsable de la gestion des risques opérationnels et les responsables chargés de la gestion des autres catégories de risques (risques de crédit, de marché,...), ainsi qu'avec ceux chargés des relations avec les entités fournissant des services externes (par exemple, sociétés d'assurance et sociétés de sous-traitance).
L'organe de direction porte une attention particulière à la qualité du contrôle de la documentation et aux pratiques d'exécution des transactions. En particulier, les politiques, processus et procédures liés aux technologies modernes, traitant d'importants volumes de transactions, devraient être bien documentés et diffusés à l'ensemble du personnel.

V- Système d'identification, de mesure, de suivi, de maîtrise et d'atténuation des risques opérationnels

A- Identification et mesure des risques opérationnels

Le système de gestion des risques opérationnels permet d'identifier les risques les plus significatifs et d'apprécier la vulnérabilité de l'établissement à ces risques. A cet effet, il prend en compte à la fois les facteurs internes (notamment la nature des activités, la qualité des ressources humaines, les modifications de l'organisation et le taux de rotation du personnel) et externes (notamment les évolutions du secteur bancaire et les progrès technologiques).
Pour identifier et évaluer leurs risques opérationnels, les établissements peuvent recourir aux techniques suivantes :
- autoévaluation : Les opérations et les activités de l'établissement sont évaluées sur la base de l'examen d'un ensemble de points potentiellement exposés aux risques opérationnels.

Ce processus repose, en général, sur un ensemble de contrôles effectués en interne et destinés à identifier les forces et faiblesses de l'environnement opérationnel. Les différents types d'expositions aux risques opérationnels font l'objet d'un classement sur la base d'une matrice de scoring qui prend en considération les instruments d'atténuation de ces risques.
La matrice en question permet de convertir les évaluations qualitatives en mesures quantitatives et de recenser les risques propres à une activité donnée, ainsi que ceux qui sont transversaux à plusieurs activités. Elle peut également être utilisée pour l'affectation, aux diverses activités, des fonds propres économiques destinés à couvrir les risques opérationnels.
- cartographie des risques : Dans le cadre de ce processus, les diverses unités, fonctions organisationnelles et chaînes d'opérations sont déclinées en catégories de risques opérationnels, permettant ainsi à l'organe de direction d'identifier les zones de risques et d'établir des priorités pour les actions à entreprendre.
- indicateurs de risque : Etablis sur la base de statistiques et/ou de diverses mesures, souvent à caractère financier, les indicateurs de risque (nombre d'opérations non exécutées, mobilité des effectifs, fréquence et/ou gravité des erreurs et omissions,...) donnent une idée sur l'exposition de l'établissement aux risques opérationnels.

Ces indicateurs sont généralement revus de façon périodique de manière à tenir informés les organes d'administration et de direction sur les changements porteurs de risques.

B- Suivi des risques opérationnels

Outre le suivi des cas de pertes opérationnelles, les établissements mettent en place des indicateurs d'alerte avancés, qui leur permettent d'identifier les sources potentielles de risques opérationnels (taux de croissance anormalement élevé, lancement de nouveaux produits, rotation des employés, ruptures de transactions, pannes de système). Ces indicateurs comportent généralement des seuils, dont le dépassement déclenche la mise en oeuvre d'actions préventives.
Le suivi des risques opérationnels doit faire partie intégrante de l'activité de l'établissement. La périodicité de ce suivi est adaptée aux risques ainsi qu'à la fréquence et à la nature des changements de l'environnement opérationnel.
La mise à la disposition de l'organe d'administration d'informations opportunes lui permettrait d'apprécier le profil global de l'établissement vis-à-vis des risques opérationnels et d'appréhender les retombées pratiques et stratégiques découlant de ces risques.
En outre, les services concernés de l'établissement (unités opérationnelles, fonctions de groupe, responsable chargé du suivi des risques opérationnels, audit interne,...) établissent régulièrement, à l'attention des niveaux appropriés de la direction et aux lignes d'activité générant les expositions aux risques, des rapports sur les risques opérationnels.
Ces rapports intègrent les données internes (aspects financiers, opérations et conformité), ainsi que les informations externes (de marché) relatives aux événements et conditions susceptibles d'influencer le processus de décision. Ils doivent porter sur l'ensemble des zones de risques identifiées et donner lieu à des actions correctives rapides. Leurs résultats peuvent servir de base pour la mise en place de politiques, procédures et pratiques de gestion des risques plus appropriées.
Pour s'assurer de l'exhaustivité et de la fiabilité de ces rapports, l'organe de direction vérifie régulièrement la rapidité, l'exactitude et la pertinence des systèmes de reporting et des contrôles internes.
Lorsque les risques opérationnels identifiés sont importants, les mesures appropriées doivent être prises rapidement en vue de ramener à un niveau maîtrisable l'exposition à ces risques. A défaut, le positionnement de l'établissement par rapport à l'activité générant ces risques devrait faire l'objet de révision.
Les établissements mettent en place des processus et procédures de contrôle, ainsi qu'un système assurant la conformité des opérations à un ensemble de politiques internes dûment documentées.
Les politiques et procédures, formalisées et documentées, doivent être appuyées par une solide culture de contrôle favorisant la mise en oeuvre de saines pratiques de gestion des risques opérationnels. Dans ce sens, il incombe aux organes d'administration et de direction de mettre en place un solide processus de contrôle interne encadrant toutes les activités de l'établissement, afin d'assurer la réactivité nécessaire vis-à-vis de tout événement imprévu.

C- Maîtrise et atténuation des risques opérationnels

Les établissements veillent à adopter des pratiques internes visant à assurer la maîtrise et l'atténuation des risques opérationnels, telles que :
- le suivi attentif du respect des limites et seuils de risque fixés ;
- la sécurisation de l'accès aux patrimoines et archives de l'établissement et de leur utilisation ;
- la mise à niveau des compétences et de la formation des agents ;
- l'identification des activités et produits dont les rendements paraissent disproportionnés par rapport à des attentes raisonnables ;
- la vérification et le rapprochement réguliers des opérations et des comptes.

Les activités externalisées font l'objet de politiques appropriées de gestion des risques. Le recours à des prestataires de services externes ne diminue pas la responsabilité des organes d'administration et de direction, à qui il incombe de veiller à ce que l'activité de ses prestataires soit menée de façon sûre et saine, dans le respect du cadre réglementaire applicable. Les contrats d'externalisation doivent être solides et reposer sur des conventions de service assurant une répartition claire des responsabilités entre les prestataires de service externes et l'établissement. En outre, la gestion des risques résiduels liés à ces contrats d'externalisation, y compris toute perturbation dans l'offre de services, doit être prise en charge par l'établissement.

VI- Contrôle du système de gestion des risques opérationnels

Les établissements mettent en place un système d'audit interne qui vérifie périodiquement que le dispositif de gestion des risques opérationnels est mis en oeuvre avec efficacité au niveau de l'ensemble de l'établissement.
L'organe d'administration s'assure de l'adéquation du système d'audit interne et de sa capacité à vérifier que les politiques et procédures opérationnelles sont correctement mises en place. Il veille, en outre, directement ou par l'intermédiaire du comité d'audit, à ce que la portée et la fréquence du programme d'audit interne concordent avec le degré d'exposition aux risques opérationnels.
La fonction d'audit interne peut fournir des indications précieuses aux personnes responsables de la gestion des risques opérationnels, mais elle ne doit pas être, elle-même, chargée de responsabilités directes à cet égard. Aussi, il importe de veiller à son indépendance et à sa non implication dans le processus de gestion au jour le jour des risques opérationnels, notamment dans le cas où elle serait chargée du suivi du dispositif de gestion des risques opérationnels ou de l'élaboration du programme de leur gestion.

VII- Plan de continuité de l'activité

En vue d'assurer le fonctionnement continu de leurs activités et de limiter les pertes en cas de fortes perturbations des opérations dues aux événements majeurs, les établissements se dotent d'un plan de continuité de l'activité et désignent un responsable chargé d'assurer la mise en oeuvre des mesures liées à ce plan.
Les établissements revoient périodiquement ces plans et les testent pour vérifier qu'ils sont en mesure de les mettre en oeuvre, même dans les situations de crises dont l'occurrence est très peu probable.

VIII- Reporting destiné à Bank Al-Maghrib

Les établissements communiquent périodiquement à la Direction de la supervision bancaire de Bank Al-Maghrib un reporting spécifique sur les pertes générées par les risques opérationnels. Celle-ci peut demander d'autres informations portant sur ces risques.

Le renforcement du dispositif de gestion du risque opérationnel dans les banques marocaine se manifeste aussi par la mise a jour des systèmes d'information et l'intégration de nouvelles technologies citant a titre d'exemple Le Crédit Immobilier et Hôtelier (CIH) qui est une banque Marocaine dédiée principalement à la clientèle des particuliers et à la promotion immobilière , a choisi la solution FrontGRC d'eFront pour répondre aux Exigences de Bâle II en matière de dispositif de gestion des risques opérationnels.

La solution est déployée auprès de 320 utilisateurs a permis au CIH de s'engager dans un processus de renforcement de son dispositif de surveillance prudentielle, conformément aux directives émises par la Bank Al Maghrib (« BAM ») dans ce domaine.

Conçu pour une application universelle, la Tunisie est convaincue de prendre les démarches nécessaires pour migrer vers Bâle II, le fait d'adopter les règles prudentielles de Bâle II et le passage au processus d'évaluation des risques nécessite une préparation aussi bien du cadre juridique que de l'environnement bancaire.

Pour le secteur bancaire Tunisien l'entré en vigueur des règles de Bâle II est prévue a l'horizon 2010.

Afin de réussir l'implantation des accords et atteindre les objectifs suivant : arriver à faire correspondre les FPR aux risques encourus ; améliorer la gestion des risques ; renforcer le rôle des superviseurs et renforcer le rôle de la discipline de marché et de transparence et un système qui tend a renforcé la stabilité financière dans le pays ; une commission stratégique a été crée dans ce contexte.

Comme tout les banques centrales du monde qui ont migré vers les accords de Bâle2, la banque centrale de Tunisie BCT est responsable elle aussi de la transposition législative ou réglementaire des recommandations Baloises.

En effet le processus organisationnel pour l'implantation des accords baloise en Tunisie s'organise comme suit :

La commission stratégique regroupe la profession bancaire, le ministre des finances, le CMF et l'ordre des experts comptable et les universitaires. Elle a la charge d'élaborer un programme exécutif destiné à préparer le secteur bancaire à l'adoption de nouvelle règles de Bâle II. La création d'une Commission stratégique au sein de la Banque Centrale de Tunisie s'est fait dans le but d'aider le secteur à savoir doser et s'adapter aux capacités du pays, afin de faire de ce système « Bâle II » un levier de croissance plutôt qu'une contrainte pour le développement et la création de richesse.

Quatre comités : comité de risque de crédit et de marché, un comité de risque opérationnel, un comité de surveillance prudentielle et un comité de discipline de marché.

Ces comités ont pour mission l'examen des aspects techniques du nouveau dispositif prudentiel, transposition de Bâle II en Tunisie, conduite d'études d'impact et élaboration d'état de reporting.

Et le but de ce choix organisationnel est d'assurer une large participation de toutes les parties prenantes et imprégner tous les intervenants par la dynamique de Bâle II afin de faciliter la mise en place et le suivi.

On n'a pas de calendrier précis pour la mise en place de Bâle II mais un calendrier prévoit que les fins des travaux de comités techniques sont prévues pour la fin de 2008 ; une probabilité de publication des textes législatifs et réglementaire courant 2009^10(*) et une mise en place effective a l'horizon 2010.

Pour l'instant pas de circulaire relatif aux exigences en fonds propres au titre du risque opérationnel ; mais la banque centrale prévoie l'utilisation de l'approche des mesures avancées et entre temps l'adoption de l'approche indicateur. D'autres éléments de réflexion sont en cours comme la Création au sein des banques de structure dédiée au risque opérationnel ; la Création, au sein de l'APTBEF, d'un comité chargé de définir la cartographie des risques opérationnels au titre des activités les plus partagées par le secteur ; la prospection de solution informatique pour prise en charge de ce risque et la mise en place, au niveau de la BCT, d'une base de données relative aux incidents sur risque opérationnel.

La mise en place d'un système de contrôle interne et d'un comité permanent d'audit interne sont les dispositions pris par la banque centrale de Tunisie par le biais du circulaire n°2006-19 dédié au contrôle interne afin de mieux gérer et maitriser le risque opérationnel .

Le développement du système de contrôle interne doit être adapté à la nature et au volume des activités des établissements de crédit ainsi qu'à leurs tailles et aux risques auxquels ils sont exposés.

Selon les dispositions de ce circulaire la conception du système de contrôle interne incombe à l'organe de direction (direction générale ou directoire) qui doit à cet effet :

- mettre en place un système d'évaluation des divers risques et de mesure de la rentabilité ;

- prévoir les moyens humains et matériels nécessaires à la mise en oeuvre du contrôle interne.

Le système de contrôle interne doit être approuvé par le conseil d'Administration ou le Conseil de Surveillance.

A la vérification de la clarté des informations fournies et à l'appréciation de la cohérence des systèmes de mesures, de surveillance et de maîtrise des risques.

A l'examen des insuffisances du fonctionnement du système de contrôle interne relevées par les différentes structures de l'établissement de crédit ou de la banque non résidente et autres organes chargés des missions de contrôle et l'adoption des mesures correctrices.

Au contrôle et de la coordination des activités de la structure d'audit interne et le cas échéant les travaux des autres structures de l'établissement de crédit ou de la banque non résidente chargées des missions de contrôle.

A l'agrément de la désignation du responsable de la structure chargée de l'audit interne ainsi que des auditeurs.

A la proposition de la nomination du ou des commissaires aux comptes et/ou des auditeurs externes et donne un avis sur le programme et les résultats de leurs contrôles.

Pour la couverture du risque opérationnel les établissements de crédit et les banques non résidentes doivent :

§ Disposer de plans de continuité de l'activité qui consistent en un ensemble de mesure visant à assurer, selon divers scénarios de crises, y compris face à des chocs extrêmes, le maintien, le cas échéant de façon temporaire, des prestations de services essentielles de l'établissement de crédit ou de la banque non résidente puis la reprise planifiée des activités ;

§ S'assurer de la cohérence et de l'efficacité de ces plans de continuité de l'activité dans le cadre d'un plan global qui intègre les objectifs définis par l'établissement de crédit ou la banque non résidente ;

§ S'assurer que leur organisation et la disponibilité de leurs ressources humaines, immobilières, techniques et financières font l'objet d'une évaluation régulière au regard des risques liés à la continuité de l'activité.

Et d'autre mesures sont mises en place pour la une maitrise du risque comme le contrôle relatif au système d'information qui se matérialise par le fait de s'assurer de l'adaptation de leur système d'information à leur niveau d'activité et à la nature de leurs risques. Que le niveau de sécurité est périodiquement apprécié et que, le cas échéant, les actions correctrices sont mise en place à temps et que des procédures de secours informatique sont disponibles. Ces procédures doivent être testées périodiquement en vue de s'assurer de leur bon fonctionnement.

Les supports de l'information et de la documentation relatifs à l'analyse et à l'exécution des programmes doivent être conservés dans des conditions présentant le maximum de sécurité contre les risques de détérioration, de manipulation ou de vol.

Tout un chapitre a été réservé pour le risque opérationnel dont lequel il ya un rappel de la définition de ce risque conformément a la définition de Bâle II, et l'obligation de se doter d'un système qui permet la gestion du risque opérationnel comme prévue par les articles suivants :

La Banque Centrale de Tunisie est en phase de travaux préparatoire pour la mise en place au sein de ces banques d'un dispositif conforme aux exigences de Bâle II.

Quelque soit l'approche de mesure choisit par la banque centrale du Maroc (qui a opté pour l'approche standard dés l'année 2008) et la Tunisie (prévoie l'utilisation de l'approche d'indicateur de base) ; leurs établissements sont les plus concernés pour réussir la gestion active du risque opérationnel.

SECTION II : LA DÉMARCHE D'IMPLÉMENTATION D'UN DISPOSITIF DE GESTION DU RISQUE OPÉRATIONNEL

Le déploiement d'un dispositif de gestion du risque opérationnel efficace représente un défi pour les établissements de crédits, en fait depuis les premières publications du comité de Bâle relatives au risque opérationnel, les établissements de crédit se trouvent dans l'obligation de prendre les démarches nécessaires pour réussir l'implémentation du processus de gestion du risque opérationnel conformément aux exigences des accords de Bâle II.

Même si le Maroc de sa part a adopté l'approche standard pour la mesure du risque opérationnel et prévoit, à moyen terme, l'utilisation des approches avancées dans et d'autre part la Tunisie qui est en phase préparatoire pour l'utilisation de l'approche standard ; leurs établissements bancaires ont intérêt à adopter une méthodologie qui aide à définir et mettre en place une approche structurée au niveau de leurs organisations pour identifier, évaluer et gérer le risque opérationnel de manière efficace et à un coût supportable, car la gestion des risques opérationnels, c'est d'abord une organisation, un système d'information, des reporting, des règles de décision et un ensemble de procédures et de normes. En fait le choix de l'approche de mesure du risque opérationnel que se soit l'approche standard ou avancée nécessite des prés requis au niveau organisationnel, outils, procédure et système d'information.

En veillant au respect des exigences de l'accord de Bâle II pour la gestion du risque opérationnel et afin de réussir une gestion active de ce dernier risque, on propose le cadre conceptuel suivant :

Et pour arriver aux fins de ce cadre conceptuel, nous présentons les facteurs clés pour réussir une gestion active du risque opérationnel.

La conception d'une cartographie des risques constitue la première étape, absolument cruciale, dans l'identification des pertes, et donc dans l'estimation des risques, au sein d'une organisation. Son exploitation est une phase-clé, fondamentale, a la fois pour la modélisation de la distribution des pertes et le calcul du capital, mais aussi pour la gestion active des risques.

Plusieurs étapes sont à parcourir afin d'aboutir à la conception d'une cartographie des risques.

Etape 1 : Découpage de l'activité par ligne de métier selon les critères du régulateur.

Etape 2 : Décomposer chaque ligne de métier en processus : Un processus métier désigne un ensemble de tâches coordonnées en vue de fournir un produit ou un service à la clientèle.et le manuel de procédure représente un outil intéressant pour cette phase.

Etape3 : A chaque étape du processus on associe ensuite les incidents susceptibles d'en perturber le déroulement et d'entraîner le non réalisation des objectifs du processus (en termes de résultat concret, ou en termes de délais).

Etape 5 : Construire une matrice de risque : il s'agit d'un graphe à deux dimension, la sévérité et la fréquence.la matrice est divisé en zones selon le niveau de risque et la nécessité des contrôles.

En fait Le recueil, la formulation, et la qualification des risques opérationnels en vue de la cartographie est un processus « bottom-up ».

Cette cartographie s'appuie sur une analyse des processus métier à laquelle on croise la typologie des risques opérationnels.

Chaque événement à risque doit être rattaché à une catégorie de risques rendant ensuite l'analyse des données plus facile et rapide, et sur le plan organisationnel à la ligne métier où l'incident a eu lieu.

la collecte des données de perte interne par un établissement bancaire constitue la première des conditions quantitatives d'agrément par le comité de Bâle dans les méthodes de mesures complexes, donc la collecte des données d'incidents est un point clé de l'organisation de gestion des risques et il convient de mettre en place des canaux de communications facilitant la remontée des informations venant de toutes les entités, département vers un département central qui centralise toute l'information afin de constituer une base de données des incidents.

Pour légitimer l'emploi des méthodes standards ou avancé, la banques devra être dotée d'un dispositif de collectes des incidents accessible par touts les entités et la conception d'une base de donné dédier pour stocker les incidents et en vue de posséder les 3 ans d'historique de pertes requis par le régulateur et qui doit être actualisé d'une manière permanente.

La collecte des événements de perte s'appuie sur la cartographie précédemment établie pour le recensement et le référencement des incidents. Elle permet par ailleurs, par un effet rétroactif, de peaufiner cette cartographie.

En effet, les risques opérationnels sont par nature diffus et existent dans chaque service, chaque entité et à tout niveau organisationnel de la banque. La formulation et la centralisation des risques opérationnels par processus métier imposent donc de faire appel aux lignes de reporting préexistantes et tenter de regrouper celles-ci dans un système cohérent et standardisé.

Cette option de collecte de données peut être la plus aisée à mettre en oeuvre. Ainsi chaque entité spécialisée dans la gestion d'un type de risque en assure aussi le reporting des pertes. En voici quelques exemples :

Sécurité informatique : la cellule de maintenance et de sécurité informatique est chargée de rapporter l'ensemble des incidents, pannes informatique, attaques du système ayant eu lieu au sein de l'organisation et engendrer un impacte négative sur le compte de perte et profit du service de la banque ou un manque à gagner clairement identifiable.

Erreur administratif et encodage erronés : le département de comptabilité encode toutes perte diverses venant d'erreurs d'encodage, de traitement et de manipulation involontaire dans un compte spécifique de pertes et profits. Cela vaut pour toutes les écritures comptables non accompagnées d'une pièce justificative. Le département de comptabilité constitue un allié objectif et une aide précieuse pour les gestionnaires des risques opérationnel.

Fraude interne ou externe : que se soit l'audit interne, ou comité de supervision ; chaque banque possède un service spécifiquement dédié à la traque de fraudes interne- les irrégularités du personnels- et de fraudes externes- tentatives de vols, d'effraction, de détournement de fonds.

Les pertes, dédommagements, les couts divers encourus par la banque pour des raisons d'infraction à la législation sont recensées à la comptabilité mais aussi au service juridique.

On constate qu'il existe plusieurs lignes de reporting, fonctionnel, hiérarchique, comptable et on veillera à éviter les doubles comptages en attribuant à chaque incident un code unique d'identification.

Il faut rappeler que les pertes a intégré dans la base de donné des incident selon le comité de Bâle sont les pertes réelles, affectant le compte de résultats, et non les pertes potentielles ou manque à gagner et que la majorité des banques utilise un seuil en dessous duquel elle ne collecte pas les pertes opérationnelles car l'insignifiance des montant ne vaut pas la perte de temps et d'argent pour la collecte de l'événement en question.

De telles bases, alimentées sur plusieurs années consécutives, deviennent une source précieuse d'information pour le management des risques opérationnels. Ces données permettent de dégager une vision objective, chiffrée, des risques encourus, à condition bien sûr d'avoir été constituées d'une manière fiable et réaliste.

L'utilisation des seules données interne est insuffisante pour modéliser l'ensemble de la distribution, les grands événements, rare ou catastrophique, n'y sont pas forcément représentés. Dés lors, l'inclusion de pertes externe venant d'autre établissement s'avère indispensable. D'où l'existence également des bases de données provenant de sources externes est utile, toutefois ces données nécessitent un effort d'interprétation et d'adaptation à la situation propre de l'établissement et se pose la délicate question du choix des pertes à intégrer.

Les deux ingrédients interne et externe sont des données « objectives » utilisées principalement pour le développement d'une méthodologie statistique dont le but est de dériver une distribution de perte agrégées annuelles.

L'analyse de scénarios et environnement opérationnel de la banque sont deux éléments plus « subjectifs ». Les scénarios offrent notamment la possibilité de compléter le modèle statistique. Les divers outils de contrôle de l'environnement opérationnel (indicateurs de risque ou de performance..) doivent permettre à la banque de développer une approche plus qualitative.

Donc par une combinaison de ces quatre éléments on peut arriver à une vision complète et dynamique du profil de risque opérationnel.

La base de données d'incidents opérationnels fournit une image, encore statique, des pertes opérationnelles à charge d'une organisation. Correctement interprétée, cette image fournit une liste de priorités de contrôle et d'investigation pour le gestionnaire de risques et des départements concernés.

Les procédures de contrôle et de validation des incidents notifiés dans la base de données pourront s'appuyer sur un workflow, outil qui permettra aux managers : de contrôler la pertinence des informations remontées par les collaborateurs ; d'être avertis en temps réel des événements intervenus dans leur service pour rapidement mettre en place des actions correctives.

Une fois les risques identifiés sont cartographiés, hiérarchisés, et codifiés dans des procédures. L'étape suivante consiste de s'assurer que le dispositif du contrôle interne est efficace de façon continue et que le risque est correctement maîtrisé.

Le contrôle se fait par un système de contrôle interne efficace, l'efficacité de ce dernier est garanties par le respect de certains principes comme le principe de séparation de tache c'est-à-dire une indépendance entre l'activité opérationnel, d'enregistrement, de protection et conservations des biens et la taches de contrôle intégré, le principe d'instauration de contrôle réciproques des taches, des moyens de protection et des moyens de preuves, le principe de bonne sélection du personnel et de sa formation

Les contrôles de 1er niveau regroupent tous les contrôles permanents (à priori et à posteriori) mis en oeuvre au niveau de chaque entité opérationnelle et permettant de vérifier l'exhaustivité et la régularité des opérations traitées. Ils comprennent, des contrôles quotidiens qui assurent la sécurité et la qualité des opérations traitées et qui reposent sur le respect permanent des règles et procédures en vigueur (séparation des fonctions, délégation de pouvoirs et signatures, etc.) et une supervision formalisée par la hiérarchie pour vérifier la correcte application des règles et procédures au quotidien.

Les contrôles à priori regroupent tous les contrôles quotidiens mis en place afin qu'aucune erreur ne se produise. Les contrôles à posteriori ont pour objectif de détecter les anomalies que les contrôles à priori n'ont pas permis d'éviter. Pour les processus opérationnels longs, le contrôle de 1er niveau peut être assuré par plusieurs services ou personnes.

Les contrôles de 2ème niveau sont confiés à toute personne ou organe chargé de vérifier périodiquement que les contrôles de 1er niveau sont correctement réalisés : contrôle du fonctionnement de la surveillance permanente, de vérifier l'application des procédures, d'apprécier la qualité des traitements effectués et de s'assurer de la prise en compte des exigences de contrôle interne.

L'audit interne et/ou externe fait partie des contrôles de 2ème niveau il doit aider l'organisation en identifiant et en évaluant les risques significatifs et contribuer à l'amélioration des systèmes de management des risques et de contrôle.

Le renforcement du système d'information représente un outils de contrôle et de maitrise du risque opérationnel par le biais de la sécurité informatique qui se matérialise par la limitation des accès aux champs non exploitables par un département, par un changement des mots de passes selon un calendrier fixer au paravent, l'instauration des mécanisme autorisation et validation afin d'éviter les dépassements...

Et afin de maitriser les risques découlant du système informatique, il ya lieu de procéder a un audit informatique pour avoir un seuil d'assurance dans le système et le contrôle interne.

Le contrôle de conformité de l'application des procédures de contrôle décrite par l'organisation de gestion du risque opérationnel permet de détecter les défaillances de contrôle donc produire des plans d'action afin de maitriser le risque.

On peut conclure que tous les organismes de contrôle de la banque sont impliqués dans la maitrise du risque opérationnel.

Après l'identification des pertes vient leur surveillance à l'aide des outils suivants :

Ils doivent être spécifiquement conçus pour chaque type de département et selon la nature, le type d'incidents à rapporter. Ils permettent de communiquer efficacement l'enjeu et les causes des événements opérationnels au sein de l'organisation.ils sont un moyen puissant pour impliquer le management des différents départements dans la gestion quotidienne des risques opérationnels.

Ils mettent en évidence l'évolution des pertes au cours du temps pour un même département, formant ainsi une base précieuse d'évaluation de mesure de gestion de risque prises par les managers concernés. Ils permettent aussi de comparer entre elles les performances de départements similaires. Mais les tableaux de bord seuls ne fournissent pas une limite acceptable à ne pas dépasser. Pour disposer de points de référence, il faut faire appel aux indicateurs- clés de risque de performances.

Les indicateurs clés de performance ouvrent le champ à l'aspect prospectif de la gestion des risques, outre leur aspect prospectif d'identification, constituent pour les départements des limites à ne pas dépasser. Ces limites seront propres à chaque établissement, en fonction de son appétit pour le risque et l'ampleur des contrôles et des critères de qualité qu'il veut mettre en place.

De types statistiques et souvent financiers, ils fournissent un aperçu de la position de la banque relativement au risque, ils sont revus périodiquement.

En effet il n'existe pas de liste standard d'indicateurs de risque et de performances pour l'ensemble des institutions bancaires. On peut citer les indicateurs de risque suivants :

Ressources humaines : rotation du personnel, pourcentage d'employés intérimaires, plaintes de la clientèle ...

Traitement et procédures : corrections d'écritures, plaintes et contestations...

Donc il ya lieu de la conception d'une base de donné pour la constitution des indicateurs de risque et de performance.

Une procédure de reporting bien défini permet aussi un suivi du risque opérationnel.

Le modèle de risque n'est pas figé : sous l'effet des plans d'actions correctives, des risques disparaîtront, des cotations évolueront, de nouveaux risques apparaîtront. S'il n'est pas mis à jour, le modèle de risque présentera à terme une vision biaisée de la réalité, avec des conséquences non négligeables sur le calcul d'exigence en fonds propres. A ce titre, le projet des risques peut être qualifié d'exercice permanent.

Si tout les prés requis organisationnel ci-dessus indiqués sont présentes, il ya lieu de quantifié le risque résiduel.

Le régulateur propose trois approches pour évaluer l'exposition à ce type de risque :

Approche de base : un pourcentage, provisoirement fixé à 15 %, du PNB moyen des trois années précédentes ;

Approche standard : identique à l'approche de base, mais pourcentages différenciés par ligne métier (entre 12 et 18% du PNB de chaque ligne de métier) ;

Approche avancée (AMA) : l'établissement détermine son exposition sur la base de modèles internes.

Le dispositif incite à opter pour la méthode avancée, celle-ci étant en principe moins consommatrice en fonds propres réglementaires. En retour, l'économie se « paye » par la mise en place d'une organisation spécifique visant à un meilleur contrôle des risques opérationnels, et en définitive, à la réduction des pertes. Ainsi, contrairement à l'approche de base, l'approche standard impose que soient identifiés et évalués les risques opérationnels. L'approche avancée requiert quant à elle la nomination d'une entité indépendante responsable de la mise en place d'une stratégie de réduction des risques opérationnels.

Dans notre démarche pour mettre en place un dispositif de gestion du risque opérationnel, on a visé l'approche de mesure standard et complexe.

Au sein des banques, le calcul de la charge en capital revêt une importance toute particulière qui dépasse la simple dimension réglementaire. Elle répond en effet à plusieurs objectifs : Perception plus fine du risque au sein de la banque ; Optimisation du couple rentabilité/risque ; Amélioration des procédures organisationnelles.

Il n'est pas possible de maîtriser tous les risques (par exemple, les catastrophes naturelles). On peut en revanche utiliser des instruments ou programmes d'atténuation des risques pour réduire l'exposition à ces risques, leur fréquence et/ou leur gravité.

Les polices d'assurance, notamment, surtout si elles garantissent un paiement rapide et certain, peuvent être utilisées pour externaliser le risque de pertes peu fréquentes mais aux conséquences graves, qui peuvent résulter de divers événements comme l'indemnisation de tiers au titre d'erreurs et omissions, la perte physique de titres, la fraude d'un employé ou d'un tiers.

Les investissements dans les techniques appropriées de traitement des données et de sécurité informatique jouent aussi un rôle important pour l'atténuation du risque.

Pour des raisons qui peuvent échapper au contrôle de la banque, un incident grave peut l'empêcher d'exécuter entièrement ou partiellement ses obligations, en particulier quand ses infrastructures physiques, de télécommunications ou d'informatique ont été endommagées ou rendues inaccessibles. Cette situation peut à son tour provoquer de lourdes pertes financières pour la banque, ainsi que des perturbations générales du système financier par l'intermédiaire de canaux comme le système de paiements. Cette éventualité nécessite que les banques mettent en place des programmes de reprise et de continuité d'exploitation, en rapport avec sa taille et avec la complexité de ses activités, prenant en compte divers types de scénarios plausibles auxquels la banque peut être exposée.

Les banques devraient identifier les processus cruciaux, notamment ceux qui dépendent de fournisseurs extérieurs ou d'autres tiers, dont la reprise rapide est prioritaire. Pour ces processus, les banques devraient identifier des solutions de secours permettant de rétablir le service en cas de panne. Il convient de prêter une attention particulière à la capacité de restaurer les archives électroniques ou physiques nécessaires à la reprise de l'activité. Quand les archives sont dupliquées sur un autre site, ou quand les activités de la banque devraient reprendre dans d'autres locaux, il faudrait veiller à ce que ces facilités de secours soient suffisamment éloignées du site principal pour réduire le risque d'une mise hors service simultanée. Les banques devraient revoir périodiquement leurs programmes de reprise et de continuité d'exploitation pour s'assurer qu'ils restent adaptés au niveau de leurs activités et stratégies.

La politique de communication et de formation sont des éléments importants afin de s'assurer que chaque employé au sein de l'organisation a connaissance des développements en matière de processus de gestion des risques opérationnels et comprend la manière dont ce processus s'intègre dans la gestion quotidienne de l'organisation.

Il est important de rappeler que l'unité de gestion du risque opérationnel n'est pas la seul responsable et que l' implication de tous les niveaux de management au sein de l'organisation est nécessaire afin qu'une démarche de gestion du risque opérationnels porte tous ses effets, en effet la mise en place d'un tel projet occasionne un impact important sur la culture de l'organisation.il est dés lors primordial que l'ensemble des niveaux de management( du conseil d'administration au responsable de ligne de service) participe activement à la mise en oeuvre en étant des moteurs dans le changement culturel.

Chaque étape du processus de gestion des risques opérationnels doit être documentée. La documentation doit couvrir au minimum : les hypothèses, les méthodes, sources de données et les résultats du processus de gestion des risques opérationnels.

ü Démontre que le processus de gestion des risques opérationnels est mené correctement.

ü Elle matérialise l'existence et la mise en oeuvre d'une approche systématique d'identification et d'analyse des risques.

ü Elle formalise le processus de communication et de validation des plans d'actions.

ü Elle permet de partager et communiquer les informations au travers de l'organisation.

La gestion des risques est un véritable processus global et intégré. Ce processus et la méthodologie sous-jacente doivent être revus, évalués et mis à jour régulièrement afin de s'assurer que les concepts et processus clefs sont toujours pertinents.

ü La surveillance et la revue du processus d'implémentation et des changements culturels.

ü L'intégration avec d'autres systèmes ou unités opérationnels tels que la planification stratégique, l'audit interne et l'évaluation de performance.

Cet aspect d'amélioration des méthodologies de gestion des risques représente une composante importante du processus de mesure et de gestion des risques opérationnels.

Cependant, le dispositif de gestion du risque opérationnel est un projet qui n'est pas facile à mettre en place en plus se n'est pas un projet de type « Big Bang », c'est un projet qui demande une démarche bien étudier et progressive afin d'aboutir a la réalisation des objectifs prédéfinis, jusqu'à maintenant on ne peut pas présenté un modèle type de dispositif de gestion du risque opérationnel mais chaque établissement de crédit est en mesure de prendre en considération les facteurs clés développer ci-dessus pour modéliser un dispositif adéquat au niveau de maturité de son l'établissement.

CONCLUSION GÉNÉRALE

Les différentes définitions de la notion du risque opérationnel, les difficultés rencontrées par les banques à mesurer et à mettre en place un dispositif de gestion et à éviter les pertes financières au fils des ans (société générale, Baring, Daiwa, Sumitomo...) ont apporté de l'intérêt pour mener une réflexion dont l'objectif était la modélisation du risque opérationnel et en faire une discipline autonome.

Le comité de Bâle s'en est d'ailleurs préoccupé en intégrant dans les nouveaux accords sur la surveillance prudentielle des établissements de crédit un traitement explicite de gestion et de couverture du risque opérationnel.

En fait Bâle II porte un véritable projet stratégique qui est d'inciter les banques à mieux gérer leurs risques par l'usage des meilleures pratiques et des meilleures méthodes existantes : notation interne, quantification interne des risques, gestion des risques, procédures documentées et contrôle interne. L'ensemble se traduisant par un système interne d'allocation des fonds propres qui est le meilleur indicateur des risques et des performances.

Dans le cadre de notre mémoire, il était utile d'adopter les principes de gestion du risque opérationnel du comité de Bâle.

Une fois on a parcouru les différentes définitions de la notion de risque opérationnel, on a adopté la définition qui apparait la plus claire et précise actuellement et elle est communément admise par « BâleII ».

Le comité de Bâle définit le risque opérationnel comme le risque de perte résultant de carences ou de défaillances attribuables à des procédures, aux personnels et au système interne ou à des événements extérieurs. Cette large définition englobe sept catégories d'incidents, touchant à des domaines très différents de la fraude, de la sécurité et des procédures ; c'est la typologie des risques opérationnels que le comité de Bâle a dressé tout en indiquant les différentes lignes de métiers en forte relation avec ces risques.

Il faut en rappeler que l'attention attribuée au risque opérationnel n'est pas née au pur hasard mais suite aux sonnettes d'alarmes tirées de temps à autre a cause des différents désastres financiers vécus par le monde depuis les années quatre vingt.

Une fois les périmètres du risque opérationnel définis nous nous somme pencher sur les outils proposés par le comité de Bâle afin d'identifier les facteurs de ce derniers.

Une multitude d'outils est mise en place pour servir la première phase de gestion du risque opérationnel et la quantification du risque a été appréhendée soit par l'adoption de deux méthodes d'évaluations propres aux banques (Top-Down, Bottom-up), soit par un recours à l'une des approches définies par le comité de Bâle (approche indicateur de base, approche standard, et approche mesure interne).

Une fois identifié et quantifié, il fallait présenter tout un dispositif de gestion , d'atténuation et de couverture du risque opérationnel basé sur les saines pratiques pour la gestion et la surveillance du risque opérationnel tel que édicté par le comité de Bâle.

Suite à notre démarche nous avons cerné les principes de gestion du risque opérationnel ; ces principes touchent à trois éléments essentiels l'environnement, la gestion du risque et la surveillance et communication.

· L'environnement qui nécessite une connaissance et responsabilité des risques par l'organe exécutif. Toutefois le contrôle de la gestion du risque opérationnel doit se faire d'une manière indépendante c'est-à-dire pas de responsabilité directe de l'audit interne ; et bien définir la responsabilité des cadres dirigeants pour la mise en place de la stratégie décidée par l'organe exécutif.

· Gestion du risque : c'est Identification, mesure, analyse et couverture des risques dans chaque activité, processus et système, y compris nouveaux produits, disposer d'une politique et procédure de contrôle et de réduction des risques ; faire d'étude des coûts et bénéfices des nouvelles actions, mise on place d'un processus de surveillance et de reporting et l'existence de plans de secours.

· Assurer la surveillance et la communication d'information par l'imposition par les régulateurs de l'existence d'une structure de gestion des risques opérationnels, une évaluation indépendantes menées par les régulateurs (directes ou indirectes) et la communication doit permettre aux autres acteurs d'évaluer les risques et leur gestion.

La démarche de maitrise et de mesure du risque opérationnel a été clairement appréhendée par le comité de BâleII.

La réforme induite par les accords Bâle n'est pas une nouvelle contrainte appliquée au secteur bancaire. Il s'agit d'une modernisation des systèmes de prise en compte des risques. En effet, le monde de la finance à vu son environnement changer rapidement avec le développement des nouvelles technologies de l'information et doit donc aussi adapter sa législation, convaincu par la nécessité de basculer a Bâle II , les pays du Maghreb comme le Maroc et la Tunisie ont pris les mesures essentiel pour l'implémentation des accords de Bâle II et par la suite respecter les exigence prévus par Bâle en matière du risque opérationnel et les deux autre risques de marché et crédit.

A ce stade de notre travail nous avons présenté le dispositif réglementaire des superviseures des deux pays.

En la matière, les banques tunisiennes sont en train de travailler sur les préalables afin de pouvoir appliques les nouveaux accords de Bâle II dans les meilleures conditions, à travers la modernisation des systèmes d'information, la formation et la mise en conformité de leur systèmes de gestion aux règles de la transparence financière en vigueur imposée le troisième pilier de ce dit accord ; une publication des textes législatifs et réglementaire est probable courant 2009 et la mise en place effective es à l'horizon 2010.

La banque centrale de Tunisie a renforcé son dispositif de contrôle interne et audit interne par le circulaire relatif au contrôle interne, et si l'approche qui sera adapté pour la mesure du risque opérationnel dans un premier lieu est l'approche d'indicateur de base, l'approche avancé est prévu a l'horizon 2012 et un ensemble de réflexion est en cours pour s'appliquer au exigence de Bâle en la matière comme par exemple ; Création au sein des banques de structure dédiée au risque opérationnel ; Création, au sein de l'APTBEF, d'un comité chargé de définir la cartographie des risques opérationnels au titre des activités les plus partagées par le secteur ; Prospection de solution informatique pour prise en charge de ce risque ; Mise en place, au niveau de la BCT, d'une base de données relative aux incidents sur risque opérationnel....

Le Maroc se trouvant dans une étape plus avancé que la Tunisie. Adoptant le premier pilier, le système bancaire marocain a opté pour une démarche progressive.

Un ensemble de circulaires et de directives sont édictés par Bank Al-Maghrib pour une meilleure gestion du risque opérationnel. Dans une première étape le Maroc a adopté l'approche standard et l'adoption des normes dites avancées est attendue pour 2009-2010.

D'après la démarche que nous avons suivie dans le cadre de ce travail, il est possible de conclure que les banques aujourd'hui sont exposées à un des risques les plus importants de leur activité, leur défi à le gérer apparaît dans la difficulté à mettre au point une base de données observable et quantifiable. Dans ce contexte les banques sont incitées par l'évolution de la réglementation à travailler activement sur ce domaine. Elles doivent adopter des mesures stratégiques pour qu'elles puissent avancer et économiser leurs temps de réaction face à des évènements peu fréquents mais générateurs d'immenses pertes.

En s'appuyant sur les exigences de comité de Bâle en matière de gestion du risque opérationnel qui ont fait l'objet de notre partie théorique et en examinant le degré d'avancement du Maroc et de la Tunisie dans ce domaine nous avons essayé de présenté les facteurs clés pour réussir une gestion active du risque opérationnel et ce en se basant sur les éléments d'un cadre conceptuel mise en oeuvre pour la gestion de ce risque.

BIBLIOGRAPHIE

v Antoine Sardi « Audit et Contrôle Interne Bancaires » ; Afges Edition, Paris 2002.

v Banque Magazine Avril 2002, « La construction des Modèles Internes du risque Opérationnel ».

v Banque Stratégie Décembre 2002, « Risque opérationnel : les priorités pour 2003 ».

v Banque stratégie Janvier 2002, « Vers un risque opérationnel mieux géré et mieux contrôlé ».

v Basel Committee on Banking Supervision (2001), Operational Risk-Consultative.

v Basel Committee on Banking Supervision (2001), Working Paper on the Regulatory.

v Basel Committee on Banking Supervision (2003), Third Consultative Paper, the New Basel Capital Accord.

v Basel Committee on Banking Supervision (2004),»International convergence of capital measurement and capital standards».

v Chapelle, A., Y. Crama, G. Hübner et JP. Peters (2004), «Basel II and Operational.

v Denis Dupre et Pascal Dumontier, « Pilotage bancaire, les normes IAS et la réglementation BÂLE II ».

v Hennie van Greuning (2004): « ANALYSE ET GESTION DU RISQUE BANCAIRE : UN CADRE DE RÉFÉRENCE POUR L'EVALUATION DE LA GOUVERNANCE D'ENTREPRISE ET DU RISQUE FINANCIER », 1^ère éd., Editions ESKA, Paris.

v Henri Calvet « Méthodologies de l'Analyse Financière des Etablissements de Crédits » (461 p) ; Economica, Paris 2002.

v Henri Jacob -Antoine Sardi, « Management des Risques Bancaires » (394 p) ; Afges Edition, paris 2001.

v LGB Finance, (2002) : « BÂLE II : COMMENT CONCILIER PRAGMATISME ET EFFICACITÉ DANS LA MISE EN oeUVRE DES RECOMMANDATIONS ».

v Pardo, C., (2003) : « QUELS OUTILS POUR UNE RÉGULATION EFFICACE DES RISQUES OPÉRATIONNELS DE LA GESTION POUR COMPTE DE TIERS », Revue d'économie financière.

v Risk: Implications for Risk Measurement and Management in the Financial Sector».

WEBOGRAPHIE

Environnement réglementaire, risque et rentabilité des banques : cas des pays émergents.

· Altunbas et al. (2004), Heid et al. (2004), Godlewski (2004), Murinde et Yaseen (2004), Kwan et Eisenbeis (1995),

http://crem.univrennes1.fr/manifestations/GDREmonnaie07/papiers/bouaiss_karima.pdf

Environnement réglementaire, risque et rentabilité des banques : cas des pays émergents.

· Smith et Stulz (1985) (Santomero et Babbel 1997),Graham et Smith (1999) Triki (2005) Froot, Scharfstein (1995)

Les déterminants de la gestion des risques chez les assureurs américains de dommages

http://www.strategieaims.com/aims06/www.irege.univsavoie.fr/aims/Programme/pdf/SI1%20LOUISI.pdf

ANNEXE 2

Source : (Annexe 6 : la convergence international de la mesure et des normes de fonds propres)

ANNEXE 1

Classification détaillée des événements générateurs de pertes opérationnelles

ANNEXE 3

ANNEXE 4