SECTION II : LES MOYENS DE MAITRISE ET
ATTÉNUATION DU RISQUE OPÉRATIONNEL
Selon le comité de Bâle : Les
banques devraient adopter des politiques, processus et procédures pour
maîtriser et/ou atténuer les sources importantes de risque
opérationnel. Elles devraient réexaminer périodiquement
leurs stratégies de limitation et de maîtrise du risque et ajuster
leur profil de risque opérationnel en conséquence par
l'utilisation de stratégies appropriées, compte tenu de leur
appétit pour le risque et de leur profil de risque globaux. »
Face au risque opérationnel plusieurs actions peuvent
être prises :
- Accepter
- Supprimer l'activité porteuse de risque
- S'assurer contre le risque supposé
- Tester des alternatives
- Elaborer un plan de secours
En effet, pour tous les risques opérationnels qui ont
été identifié, la banque devrait pouvoir décider si
elle dispose des procédures appropriées pour contrôler
et /ou atténuer les risques, ou si elle si elle supporte ces
risques. Pour les risques qui ne peuvent pas être contrôlé,
la banque devrait décider si elle accepte ces risques (faire recours a
l'assurance), si elle réduit le niveau d'activité
économique impliquée, ou si elle se retire complètement de
cette activité. Pour cela on doit disposer de processus et
procédures de contrôle et d'un système assurant la
conformité des opérations à un ensemble de politique
interne dument documenté concernant la gestion du risque.
Le renforcement du système de contrôle est un
élément clé pour la maitrise du risque donc il
semblé logique la mise en place d'un système de contrôle
interne.
1. Le Contrôle interne
a) Les principes de contrôle
interne :
La mise en place d'un dispositif de contrôle interne
pour la maîtrise du risque opérationnel nécessite
que les principes suivants soient définis :
v La définition d'un organigramme
détaillé, précisant les pouvoirs et les
responsabilités, cet organigramme doit faire apparaître les
différentes fonctions et les noms de leurs responsables. Chaque
responsable d'entité a ainsi le devoir de mettre en place un
système de contrôle interne efficace, en coordination avec les
autres structures de la banque, tutelles fonctionnelles et
hiérarchiques. Plus généralement il concerne l'ensemble
des collaborateurs, quel que soit leur niveau de responsabilité.
v La séparation des fonctions qui
a pour objectif, par une organisation adéquate ou un rattachement
hiérarchique différent, d'éviter qu'une personne ou un
groupe de personnes cumulent les fonctions d'engagement, de règlement,
d'enregistrement et de contrôle dans un même processus
opérationnel. Elle permet ainsi de prévoir une distinction nette
entre celui qui décide et celui qui exécute, entre celui qui
opère et celui qui valide tout en offrant une garantie d'un
contrôle indépendant et permanent sur l'activité.
L'objectif recherché est de prévenir et dissuader, ou à
défaut de permettre une détection sans retard des erreurs ou des
irrégularités commises.
v Définition des postes, pouvoirs et
responsabilités : consiste à préciser
à chaque niveau d'exécution l'origine des informations
à traiter, la liste des tâches à effectuer, (les
modalités d'enregistrement de traitement, de restitution des
informations, les procédures de contrôle associées à
chaque étape), la périodicité des traitements et les
destinataires des informations traitées (compte-rendu des
travaux).Cette description doit être complétée par un
système d'autorisations et de délégations de pouvoirs de
signatures qui définit les limites d'engagement par personne ou par
organe décisionnel et les différents niveaux d'approbation requis
selon le type d'engagement.
v Le descriptif des processus
opérationnels : qui doit préciser les
modalités de circulation de traitement et de classement des
informations. Il est réalisé sous la forme d'un diagramme de
circulation des informations décrivant les étapes successives et
logiques de traitement des opérations et d'un narratif décrivant
(la nature des informations à traiter, le traitement de l'information,
les documents supports de l'information, les tâches rattachés
à chaque poste de travail, la destination des informations
produites).
b) Organisation des contrôles :
L'organisation des contrôles repose sur des
contrôles à deux niveaux :
Les contrôles de 1er niveau regroupent tous
les contrôles permanents (à priori et à posteriori) mis en
oeuvre au niveau de chaque entité opérationnelle et permettant de
vérifier l'exhaustivité et la régularité des
opérations traitées. Ils comprennent, des contrôles
quotidiens qui assurent la sécurité et la qualité des
opérations traitées et qui reposent sur le respect permanent des
règles et procédures en vigueur (séparation des fonctions,
délégation de pouvoirs et signatures, etc.) et une supervision
formalisée par la hiérarchie pour vérifier la correcte
application des règles et procédures au quotidien.
Les contrôles à priori regroupent tous les
contrôles quotidiens mis en place afin qu'aucune erreur ne se produise.
Les contrôles à posteriori ont pour objectif de détecter
les anomalies que les contrôles à priori n'ont pas permis
d'éviter.
Pour les processus opérationnels longs, le
contrôle de 1er niveau peut être assuré par
plusieurs services ou personnes.
Les contrôles de 2ème niveau sont
confiés à toute personne ou organe chargé de
vérifier périodiquement que les contrôles de 1er
niveau sont correctement réalisés : contrôle du
fonctionnement de la surveillance permanente, de vérifier l'application
des procédures, d'apprécier la qualité des traitements
effectués et de s'assurer de la prise en compte des exigences de
contrôle interne.
L'audit interne et/ou externe fait partie des contrôles
de 2ème niveau.
A ce titre, le contrôle interne dispose de plusieurs
dispositifs visant la maitrise du risque.
· Identification des risques liés au
fonctionnement des unités.
· Evaluation des risques mesurables
· Elaboration de politiques de prises de risques
adaptées aux enjeux
· Limite des risques, prévoyant la fixation de
limites globales et opérationnelles, la revue, la mesure, le suivi des
dépassements et des régularisations ;
· Suivi des performances d'ensemble.
Le contrôle interne est assuré par
différents composantes de l'organisation et a pour objectif premier de
s'assurer que les opérations sont traitées et
gérées, conformément aux normes, aux règles et aux
procédures en vigueur. Dans ce dispositif, l'audit interne consacre
l'essentiel de ses missions, à vérifier que ces procédures
sont à jour et que les opérationnels les ont comprises et les
appliquent totalement, au quotidien, d'où une nouvelle organisation de
la gestion des risques opérationnels par l'audit
interne.
2. L'audit interne :
a) Principes et les fonctions de l'audit
interne :
L'Audit Interne est une activité indépendante et
objective qui donne à une organisation une assurance sur le degré
de maîtrise de ses opérations, lui apporte ses conseils pour les
améliorer, et contribue à créer de la valeur
ajoutée. Il aide cette organisation à atteindre ses objectifs en
évaluant, par une approche systématique et méthodique, ses
processus de management des risques, de contrôle, de gouvernement
d'entreprise, et en faisant des propositions pour renforcer leur
efficacité.
D'un point de vue général, l'Audit Interne
intervient sur les domaines suivants :
v L'examen et l'évaluation de l'efficacité des
dispositifs de contrôle interne ;
v Le contrôle de l'application et de l'efficacité
des procédures de management du risque et méthodes de mesure de
risque ;
v Le contrôle de la sincérité et de la
fiabilité des enregistrements comptables et des rapports
financiers ;
v Le contrôle des moyens de sauvegarde des
actifs ;
v Le contrôle du système de mesure de risque par
rapport aux fonds propres ;
v Les tests à la fois sur les opérations et le
fonctionnement des procédures spécifiques de contrôle
interne ;
v Le contrôle des dispositifs mis en place pour
s'assurer qu'ils sont conformes aux exigences légales et
réglementaires, aux codes de conduite, et à la mise en oeuvre des
politiques et procédures ;
v Le contrôle de la sincérité, de la
fiabilité et de l'opportunité des reportings
réglementaires
L'Audit Interne dans les banques évolue vers un
rôle d'acteur de premier plan, en charge en particulier de la conduite du
changement et de la gestion des risques. Toutefois le respect de certains
principes conditionne le succès de ses missions.
Voici, quelques principes de base pour la fonction
Audit Interne :
· Le service d'Audit Interne doit être en mesure
d'exercer sa mission de sa propre initiative dans tous les services, les
établissements et les fonctions de la banque. Il doit être libre
de faire un rapport sur ses résultats et évaluations et de les
communiquer en interne. Le principe d'indépendance implique le
rattachement du service audit interne, soit au président de la banque,
soit au conseil d'administration, soit à son comité d'audit.
· Toutes les banques devraient disposer d'une charte
d'audit qui mette en valeur le statut de l'autorité de la fonction
d'audit interne au sein de l'établissement de crédit. Ceci
revient à fixer les objectifs et le champ d'intervention de l'audit
interne, ses positions dans l'organisation, et la responsabilité du
responsable de l'audit interne.
· La fonction d'audit interne doit être objective
et impartiale, ce qui signifie que l'audit doit pouvoir effectuer ses missions
sans préjugé et sans subir de pression. Pour être objectif
et impartial le service d'audit interne doit-lui même chercher à
éviter tout conflit d'intérêt. A cette fin les missions
d'auditeurs doivent changer périodiquement chaque fois que c'est
possible.
· Le service d'audit interne doit se préoccuper
des dispositions légales et réglementaires qui régissent
les opérations de la banque, les politiques principes, règles,
lignes de conduite interne édictées par les autorités de
tutelle relatives à l'organisation et à la gestion des banques.
Cependant cela ne signifie pas que l'audit interne doit assumer les fonctions
de contrôle de la conformité.
· Le service de l'audit interne doit évaluer en
particulier, la conformité de la banque à la
réglementation et aux contrôles des risques (quantifiables et non
quantifiables), la fiabilité y compris (l'intégrité,
l'exactitude et l'exhaustivité) ainsi que la disponibilité en
temps opportun de l'information financière et de celle destinée
au management, la continuité et la fiabilité des systèmes
d'information et l'organisation des services.
b) La gestion du risque par l'audit interne :
La gestion du risque opérationnel par l'audit interne
se base sur les étapes suivantes :
v Une identification préalable du risque,
cela implique une définition claire et unique de la notion
risque opérationnel, tout en précisant avec détail le
champ des risques qu'il couvre. A cet égard les départements
d'Audit Interne ne peuvent se lancer dans un tel travail, s'ils ne sont pas en
mesure de connaître les activités, les objectifs et la
stratégie de l'établissement de crédit, de
réfléchir au delà du cadre réglementaire et
intégrer la réalité d'un environnement en très
forte mutation, et enfin d'enrichir cette démarche en impliquant dans ce
processus les responsables métiers et les opérationnels .
v Une diffusion de la culture du contrôle
interne vers les opérationnels, une fois les risques
identifiés sont cartographiés, hiérarchisés, et
codifiés dans des procédures. L'étape suivante consiste de
à s'assurer que le dispositif du contrôle interne est efficace de
façon continue et que le risque est correctement maîtrisé.
Pour cela la mise en place des programmes d'auto évaluation du
dispositif apparaît une nécessité, et les moyens de
contrôle à mettre en oeuvre seront de deux ordres :
Des check-lists (normatives) des contrôles que doivent
remplir périodiquement les opérationnels et qui leur rappellent
les étapes essentielles à suivre. Ces check-listes peuvent
être assimilés à des carnets de bord.
Des indicateurs des contrôles clés de
l'établissement qui doivent être définis, en commun, entre
l'audit interne et les responsables opérationnels, ces indicateurs
peuvent être de deux natures « qualitative » :
(rapprochement des positions et résultat économique et
comptable par exemple) ou « quantitatives » :
(nombre d'opérations non confirmées, nombre d'opérations
en suspens dans les comptes règlements-livraison, nombre
d'opérations rejetées par le système comptable, etc.).
Ces indicateurs peuvent être fixés soit en valeur
absolue, soit en pourcentage du nombre d'opérations traitées,
soit de manière plus fine en fonction des activités.
Le suivi de ces indicateurs de contrôle va permettre
aux responsables opérationnels de détecter les erreurs, les
anomalies et les dysfonctionnements qui peuvent causer d'énormes pertes
et le cas échéant de prendre les mesures correctrices
nécessaires.
v Un service d'Audit Interne : dans ce
contexte la fonction audit interne est assurée par un
département expert qui pourra à tout moment disposer
d'indicateurs (résultants des programmes d'auto évaluation) de
mesure de la qualité des contrôles fondamentaux qui permettent de
maîtriser les risques clés.
Certains établissements ont mené une
réflexion pour mettre en place des programmes d'auto évaluation
du risque opérationnel.
v L'auto évaluation du risque
opérationnel, est réalisée au niveau des
contrôles de 1er niveau. Elle consiste en l'examen et
l'évaluation de l'efficacité du contrôle interne et a pour
objectif d'anticiper la dégradation d'un contrôle. La mise en
oeuvre de ce processus passe par les étapes suivantes :
- l'identification exhaustive préalable des
dysfonctionnements potentiels (erreurs, irrégularités, fraudes)
imputables au risque administratif et de leur source.
- Le recensement des faiblesses existantes de contrôle
interne,
- L'élaboration d'un programme d'auto
évaluation du dispositif de contrôle.
Un programme d'auto évaluation du dispositif de
contrôle comprend :
- d'une part, l'élaboration et la mise en oeuvre de
check-lists de contrôles que doivent remplir les opérationnels et
qui leur rappellent les étapes essentielles à suivre,
- et d'autre part, la définition d'indicateurs de
contrôles clés tant au plan qualitatif que quantitatif.
Finalement on peut dire, qu'une
fois l'objectif du suivi régulier de la qualité des
contrôles effectués et évalués par les
opérationnels est atteint, sa valeur ajouté réside dans sa
capacité à :
- présenter à la direction
générale et au comité d'audit une cartographie
complète et actualisée des risques ;
- piloter l'ensemble des dispositifs de contrôles
définis à partir des risques clés ;
- améliorer en continu ce dispositif sur la base des
meilleures pratiques du secteur et des missions réalisées
à partir d'un processus qualitatif de clignotants ;
- promouvoir la culture du contrôle interne à
tous les échelons de l'organisation ;
3. Autres pratiques internes pour maitriser le risque
opérationnel :
Le comité prévoit autres pratiques internes afin
de maitriser le risque opérationnel :
§ La surveillance étroite du respect des limites
de risque ou des seuils assignés
§ La mise en place des mesures de protection pour
l'accès et l'utilisation des actifs et des informations de la banque.
§ S'assurer que le personnel à l'expertise et la
formation adaptées et veuilles a une mise a jour.
§ Vérification et rapprochement réguliers
des transactions et des comptes.
§ L'identification des branches ou des produits de
l'activité dont les résultats semblent être en dehors des
attentes raisonnables.
§ S'assurer que l'infrastructure du contrôle de
gestion des risques suit la croissance de l'activité.
4. Les techniques d'atténuation du risque
opérationnel :
En matière de maîtrise du risque
opérationnel de faible probabilité mais a un impact financier
très lourd on peut opter pour d'autres techniques d'atténuation
et de transfert de risques, par l'intermédiaire des polices d'assurances
contre des évènements externes de risques tels que les incendies,
les tempêtes....ou par la signature des contrats plus spécifiques
et personnalisés contre le risque opérationnel qui y sont
proposés pour se prémunir contre des menaces internes de risques
tel que les fraudes ou les défaillances dans un système
informatique.
L'externalisation de certains activités peut
réduire le profil de risque d'un établissement en
transférant certaines activités spécialisées
à des entreprises qui ont plus d'expertise et d'envergure pour
gérer les risques qui y sont associés.
Il convient aussi d'examiner soigneusement dans quelle mesure
les instruments d'atténuation comme l'assurance et l'externalisation
réduisent vraiment le risque, ou le transfèrent à un autre
secteur ou domaine d'activité, voire s'ils ne créent pas un
nouveau risque (par exemple, risque juridique ou risque de contrepartie).
L'investissement en technologie de traitement de l'information
peut également apparaitre comme un dispositif d'atténuation du
risque. En fait un bon système d'information fiable et sécurisant
est un élément clé pour la gestion et maitrise du risque
du fait que l'informatique et les processus de traitement et d'acheminement de
l'information sont des sources potentielles et non négligeable du risque
opérationnel.
5. Les plans de continuité
d'exploitation :
Selon le
comité « Les banques devraient
mettre en place des plans de secours et de continuité d'exploitation
pour garantir un fonctionnement sans interruption et limiter les pertes en cas
de perturbation grave de l'activité ».
Les plans de secours d'exploitation se sont basés,
pour leur rédaction, sur des listes de fonctions prioritaires,
classées en fonction des risques financiers, légaux et
commerciaux potentiels induits par une interruption des opérations. Une
organisation de secours cible est alors été mise sur pied, en
même temps que des lieux et des systèmes de backup alternatifs. En
règle générale, en raison des coûts associés
à une telle procédure d'urgence, des tests sont
exécutés de manière aléatoire. Il n'y a donc aucune
certitude quant au bon fonctionnement des ces procédures d'urgence, dans
le mesure où les interdépendances n'ont pas été
vérifiées, l'élaboration de cas virtuels autour des
mesures d'urgence pourrait s'avérer extrêmement
intéressante.
6. La Création de la fonction de gestion du
risque opérationnel :
La gestion des risques opérationnels est devenue une
discipline à part entière, en termes organisationnels, cela se
matérialise par la création d'une fonction de gestion
du risque opérationnel.
La fonction de gestion du risque opérationnel est un
acteur clé du processus de contrôle chargé de veiller
à l'existence et à l'efficacité des dispositifs permettant
de maitriser les risques opérationnels. Le gestionnaire des risques
opérationnels a la mission d'identifier, d'évaluer, la
surveillance et la maitrise du risque. Il propose, met en place, maintient et
fait évoluer en fonction des risques le dispositif de contrôle
interne de l'entité, de la direction opérationnelles ou
fonctionnelle ou de la ligne métier dont il est chargé. Il est
assisté des autres acteurs du contrôle interne (management
opérationnel et fonctionnel, direction des risques, pilotage du
contrôle interne et audit)
7. Les objectifs à atteindre à travers les
moyens de la gestion du risque opérationnel :
Une valeur ajoutée est perçue de La mise en
oeuvre d'un processus de gestion du risque opérationnel, cette valeur
ajoutée est susceptible de provenir de différents
éléments complémentaires :
· Les démarches qualitatives d'identification et
d'évaluation des risques opérationnels permettent de sensibiliser
et de responsabiliser les agents opérationnels en termes de gestion des
risques
· Une méthode de quantification des risques
opérationnels plus précis permet
a. De mettre en évidence le cout des risques
opérationnels (notion de pertes attendues) et donc de
l'intérêt dans la tarification des produits
b. D'identifier les expositions aux risques importantes
(pertes inattendues) et donc la consommation de fond propres
c. De fournir en combinant ces deux éléments, un
cadre pour l'analyse cout-bénéfice (éviter le
sur-contrôle).
· L'analyse systématique des sources et causes des
pertes opérationnelles entraine :
a. Une amélioration des processus et la
qualité
b. Une meilleure diffusion des meilleurs pratiques
· Une meilleure connaissance des risques et un calcul
plus précis, de type actuariel des risques permettent une
rationalisation des programmes d'assurance.
· Une approche disciplinée et structurée de
collecte des incidents contribue à l'établissement de la culture
d'entreprise vis-à-vis du risque.
Afin d'assurer une mise en oeuvre effective délivrant
la valeur ajouté promise, l'implémentation de la gestion des
risques doit répondre à certains facteurs clef de succès
qui sont les suivants :
· Une définition claire des rôles et des
responsabilités en matière de gestion des risques
opérationnels.
· Une implication et un engagement forts de la part du
management
· Une politique de communication et de formation
· Une documentation appropriée du processus
· La mise en place d'un processus d'amélioration
continu.
| 