|
||
|
CHAPITRE 2 : OUTILS D'IDENTIFICATION ET APPROCHES DE MESURE DU RISQUE OPÉRATIONNELUne fois le périmètre du risque opérationnel est bien défini, il ya lieu d'identifier les événements relatifs a ce risque et pour atteindre cet objectif il faut disposer des outils adéquats ; c'est ce qui va faire l'objet de la première section de ce chapitre. La deuxième section est consacrée aux modalités de mesures quantitatives du risque opérationnel tel que définit par le comité de Bâle. SECTION I : IDENTIFICATION DU RISQUE OPÉRATIONNELL'identification du risque est primordiale pour développer un contrôle et un suivi viable du risque opérationnel. Pour pouvoir mettre en place un système viable de gestion du risque opérationnel, il est tout d'abord nécessaire, d'identifier les facteurs du risque opérationnel que se soit des facteurs interne ( la structure de la banque, nature de ses activités, la qualité de ses ressources humaines, les modifications de l'organisation et le taux de rotation du personnel) ou externes (comme les évolutions du secteur bancaire et les progrès technologiques) et qui pourraient empêcher la banque d'atteindre ses objectifs. En fait l'identification des événements de risque suit une démarche structurée, basée sur la compréhension et l'analyse des processus opérationnels de la banque, de ces produits et de ses systèmes. A l'issue d'une bonne évaluation, la banque disposera pour l'ensemble de ses processus et de ses produits d'un inventaire des événements de risque, ainsi que d'une bonne compréhension des facteurs de risques associés. 1. Outils d'identification du risque opérationnel : Le comité de Bâle II a proposé des outils que la banque peut utiliser afin d'identifier et évaluer le risque opérationnel. a) Cartographie des risques8(*): La cartographie des risques permet de définir de manière approfondie les impacts potentiels du risque, les facteurs qui déclenchent la survenance du risque ainsi que les facteurs qui déterminent l'envergure du dommage. Nous utilisons une méthodologie rigoureuse de cartographie des risques afin d'identifier les risques potentiels ainsi que les facteurs déterminants. Cartographier les risques pour déterminer le profil de risque de la banque. Cette phase est une étape clé, car elle détermine sensiblement la nature des incidents qui seront collectés et donc suivis par la suite. C'est également cet exercice qui permettra de définir une nomenclature des risques valable pour l'ensemble de l'organisation, cadre indispensable à une collecte efficace et homogène des incidents. Cet exercice passe par les phases suivantes : 1) Décomposer en activités chaque processus supportant des risques opérationnels : Cette étape consiste à diviser les différents processus élémentaires de la banque en sous processus, voire d'affiner cette division en dressant une liste des différents fonctions au sein de chaque département de la banque. 2) Pour chaque activité, recenser les risques associés ; faire l'inventaire des différents facteurs du risque opérationnel auxquels les métiers de la banque peuvent être exposés (recensement des litiges clients, des pertes financières dues à des dédommagements, des rectifications d'erreurs, des discontinuités de services, des délais anormaux de traitement d'opérations clientèles...) 3) Pour chaque risque, coter les pertes et leur probabilité d'occurrence : Chaque événement le risque est évalué en terme de
4) Elaborer la matrice les risques sur les axes fréquence et préjudice : il s'agit d'un graphe à deux dimension, la sévérité et la fréquence.la matrice est divisé en zones selon le niveau de risque et la nécessité des contrôles. 5) Déterminer « visuellement », à partir de matrice, les risques significatifs (C'est à dire ceux que l'on décide de recueillir dans l'outil de collecte). Il s'agit d'un processus dans lequel des fonctions organisationnelles par exemple sont portées sur une carte par type de risque, ce processus peut relever des zones de faiblesses et aider à prioriser les actions de gestion subséquent. C'est le fait de classer par ordre d'importance la
vulnérabilité et ensuite analyser les situations à risque,
pour cela l'analyse du risque s'appuie sur deux variables : gravité
et fréquence. Avant d'estimer la gravité il est nécessaire
que les décideurs définissent ce qu'ils entendent par grave.
§ Risques de fréquence et de gravité faibles : Ce sont des risques qui se réalisent rarement et dont l'impact est limité même s'ils se réalisent. L'organisation peut vivre avec ces risques, nous parlerons de risques mineurs. § Risques de fréquence faible et de gravité élevée : ce sont des événements qui se produisent rarement mais dont les conséquences sont significatives lorsqu'ils se produisent. En raison de leur faible fréquence il est difficile de prévoir et d'anticiper leur survenance. La concrétisation du risque entraine des conséquences pouvant affecter sérieusement l'activité de l'organisation, le redémarrage nécessite l'injection de capitaux extérieurs. Cette deuxième catégorie et dénommée risques catastrophiques § Risque de fréquence élevée et de gravité faible : ces événements se produisent assez régulièrement mais leurs conséquence sont relativement faibles, le risque est généralement prévisible, cette catégorie peut être dénommé risque opérationnel. § Risques de fréquence et de gravité élevées : les évènements se produisent régulièrement et leurs conséquences sont à chaque fois significatives. Dans la majorité des cas le décideur abandonne le projet à moins que le projet soit primordial pour le développement de l'organisation. On parle alors de situation d'évitement.
Figure 3 : résultat de la cartographie des risques
L'identification ne doit pas concerner que les risques les plus dangereux mais aussi d'évaluer leur vulnérabilité à ces risques. La conception d'une cartographie de risque est un travail complexe et délicat est nécessite l'effort pour la collecte des données interne et la constitution d'une base de donné des pertes recensés, ainsi que sa mise à jour est indispensable pour le suivi de l'évolution des risques et la prise en considération des nouveaux risques. b) Les indicateurs de risque : La cartographie représente un support de base pour la mise en place des indicateurs de risque, de types statistiques et souvent financiers, ils fournissent un aperçu de la position de la banque relativement au risque, ils sont revus périodiquement. Les indicateurs de risque sont en effet de deux types, des indicateurs- clés de risque ( key risks indicators) spécifiques à chaque activité et constituent des indices de perte ou des dangers à venir et d'autre part on a les indicateurs-clés de performances ( key performance indicators) qui constituent des mesures d'évaluation de la qualité d'une activité. Chaque activité disposera de son propre ensemble d'indicateur, spécifique à la nature des taches effectuées, au mode d'organisation des fonctions, au niveau d'automatisation des opérations, au niveau des flux financiers impliqués ou de la législation en vigueurs. En effet il n'existe pas de liste standard d'indicateurs de risque et de performances pour l'ensemble des institutions bancaires. On peut citer les indicateurs de risque suivants : Ressources humaines : rotation du personnel, pourcentage d'employés intérimaires, plaintes de la clientèle ... Système : interruption du système, tentative d'intrusion informatique... Traitement et procédures : corrections d'écritures, plaintes et contestations... · les indicateurs d'alerte, liés aux facteurs de risque : volumétrie, turnover des équipes, ... · les indicateurs de risques avérés, liés aux conséquences : nombre d'erreurs, de sinistres ou de litiges, durés d'indisponibilité des systèmes, nombre de tentatives d'intrusion, d'incidents ... · les indicateurs de coûts/ressources : Le niveau de ressources allouées au contrôle des risques opérationnels Budget "sécurité", les indicateurs de pertes, pertes financières liées aux incidents, aux erreurs, dédommagements clientèle... c) Le self-assessment (autoévaluation ou évaluation du risque) : La banque évalue ses opérations et activités à l'égard de vulnérabilités potentielle en termes de risque opérationnel. La cartographie des risque est une nécessitée pour réussir le mécanisme de l'autoévaluation. Ce processus est mener en interne et comporte souvent des check listes et ou des work shops afin d'identifier les forces et les faiblesses de l'environnement du risque opérationnel. Le self-assesment utilise la technique de scorecard. A titre d'exemples les scorecards permettent de transformer des évaluations qualitatives en mesures quantitatives qui donnent un classement relatif de différents types d'exploitation au risque opérationnel. En outre, les scorecards peuvent être utilisées par les banques afin d'allouer du capital économique à leurs lignes de métier en relation avec la performance à gérer et contrôler divers aspects du risque opérationnel. L'autoévaluation représente un outil de maitrise du risque qui est conditionné à sa couverture. En fait, sur la base de données exhaustive et pertinente, les banques auront la possibilité de mesurer leur exposition aux risques opérationnels, prévenir leurs ampleurs et le cas échéant décider du montant de la couverture qui sera allouée. Une fois le risque opérationnel est identifié, la banque va procéder a le mesurer. L'exposition au risque opérationnel est mesurée à l'aide d'une variété d'approche. Les différentes approches de mesure qualitative et quantitative seront exposées dans la section suivante. * 8 Risk mapping |