Rechercher sur le site:
 
Web Memoire Online
Consulter les autres mémoires    Publier un mémoire    Une page au hasard

Le processus de gestion et de mesure du risque opérationnel selon les exigences de comité de Bâle


par Kawtar TanTan
Université TIME
Traductions: Original: fr Source:

précédent sommaire suivant

DEUXIÈME PARTIE : LA DÉMARCHE SUIVIE PAR LE MAROC ET LA TUNISIE POUR LA GESTION DU RISQUE OPÉRATIONNEL CONFORMÉMENT AUX EXIGENCES DE BÂLE II

Partie II : La démarche suivie par le Maroc et la Tunisie pour une gestion du risque opérationnel conformément aux exigences de Bâle II

Le système monétaire et financier est un système international et globalisé, et dans ce cadre la réforme de Bâle II ne concerne pas uniquement les pays européens ou bien ceux du G10, le nouvel accord de Bâle II s'applique également aux pays émergents ; c'est le cas pour le Maroc et la Tunisie.

Le Maroc et la Tunisie comme deux pays en voie développement ont opté pour l'application des directives baloises au sein de leur banques puisque  les normes exigées par Bâle II apparaissent tout d'abord comme :

§ Une nécessitée afin de montrer la dynamique du pays et son intégration dans les standards internationaux.

§ Le dispositif de Bâle II permet une véritable mise à niveau du système financier des pays.

§ Ce nouveau cadre de référence des risques est souvent jugé comme un catalyseur qui favorise de toute évidence le développement économique du pays.

§ La note souveraine d'un pays octroyé par les organismes de notation international intègre (indirectement la question d'adoption des règles de Bâle II

Et dans cette perspective on va exposer dans ce qui suit les mesures prises par la banque centrale des deux pays pour la gestion du risque opérationnel.

Les établissements de crédit sont confrontés à plusieurs risques qui peuvent être regroupés en deux grandes catégories : Les risques spécifiques liés directement à l'activité : risque de crédit, risque de marché et risques opérationnels qui sont régis par le pilier 1 de l'accord de Bâle II « Exigences minimales de fonds propres » et les risques structurels ou de bilan : notamment le risque global de taux d'intérêt, risque de liquidité et risque de concentration qui sont régis par le pilier 2 de l'accord de Bâle II « Processus de surveillance prudentielle ».

Et que le risque opérationnel fut la nouveauté de cet accord. Il est définit pour la première fois comme un risque à part entière.

«  Risques opérationnels : correspondent aux risques de pertes résultant de carences ou de défauts attribuables à des procédures, personnels et systèmes internes ou à des événements extérieurs. Cette définition inclut le risque juridique, mais exclut les risques stratégiques et de réputation. Les sources majeures des risques opérationnels peuvent être liées aux fraudes internes et externes, pratiques inappropriées en matière d'emploi et de sécurité sur les lieux de travail, pratiques inappropriées concernant les clients, les produits et l'activité commerciale, dommages causés aux biens physiques, interruptions d'activités et pannes de systèmes et aux exécutions des opérations, livraisons et processus. »

Les exigences en fond propres concernant ce risque ont pour vocation de couvrir le potentiel de perte pouvant survenir d'une défaillance attribuable au facteur humain (Vol, fraude interne...), au système d'information (Panne du système informatique...) ou d'événements extérieurs.

Le risque opérationnel est généralement le deuxième risque le plus consommateur en fonds propres après le risque de crédit.

Le comité de Bâle propose trois approches pour calculer l'exigence en fonds propres réglementaires, par ordre croissant de complexité et de sensibilité au risque : approche indicateur de base, approche standardisée et approche de mesures complexes.

- Approche Indicateur de Base : Purement forfaitaire, elle consiste à pondérer la moyenne des produits annuels bruts positifs des trois années par un coefficient, fixé par le comité à 15%.

- Approche standard : les activités de la banque sont réparties en huit lignes d'activités. Les revenus bruts de chacune sont un indicateur de l'activité et donc du risque opérationnel. La charge totale en fonds propres relatifs au risque opérationnel est égale à la moyenne, sur 3 ans, du simple cumul de l'exigence en fonds propres de chaque ligne d'activité pour chaque année pondérée de son facteur bêta divisé par 3. Néanmoins, lorsque pour une année donnée la charge en capital est négative, elle sera prise pour zéro. Le comité a précisé pour chacune des 8 lignes de métier son facteur bêta (12%<ß<18%).

- Approches de mesure Avancée (AMC): Selon les AMC, l'exigence de fonds propres réglementaire équivaut à la mesure du risque opérationnel produite par le système interne de la banque, sur la base des critères quantitatifs et qualitatifs. La banque détermine elle-même ses besoins en fonds propres par des modèles internes. En ce qui concerne cette « famille » d'approches, rien n'a été déterminé par le comité à l'exception des critères pour convaincre les autorités de l'efficacité de son système d'évaluation.

Le comité de Bâle a publié un document qui expose un ensemble de principe a utilisé par les banques afin de régir un dispositif de gestion et de surveillance efficace du risque opérationnel.

SECTION I : LES DISPOSITIONS PRISES PAR LE MAROC ET LA TUNISIE POUR ASSURER UNE GESTION DU RISQUE OPÉRATIONNEL CONFORME AUX EXIGENCES DE BÂLE II

1. Etat des lieux au Maroc :

a) Environnement légale et réglementation au Maroc :

Au Maroc, BANK AL MAGHRIB, en tant que banque centrale nationale, a arrêtée les dispositions nécessaires pour l'application des directives Bâloise dans les banques marocaines et cela, par l'organisation d'ateliers de travail pour fixer les discrétions nationales (Transposition législative ou réglementaire des recommandations bâloises à chaque pays par sa propre banque centrale) ; débouchant à la diffusion de plusieurs circulaires réglementant la gestion des risques.

v Aperçu sur la structure du système bancaire marocain :

Selon le rapport de banque AL MAGHRIB publié en 2007 le nombre d'établissements de crédit et organismes assimilés est de 76 et se présente comme suit :


· Banques : 16


· Sociétés de financement : 37


· Banques offshore : 6


· Associations de microcrédit : 14


· Autres établissements : 3

Bank Al Maghreb a adopté une démarche pragmatique et progressive qui tient compte de la structure du système bancaire et répond le mieux possible à ses besoins pour la transposition de Bâle2. Cette démarche est de nature à inciter à adopter les meilleures pratiques en matière de gestion des risques qui est ouverte sur les différentes approches de calcul des exigences en fonds propres, proposées par le Comité de Bâle.

v Aperçue sur la démarche d'implantation de l'accord de Bâle II

En effet pour l'implantation de Bâle II au Maroc des travaux préparatoires de la mise en oeuvre des dispositions du Nouvel accord ont été structurés dans le cadre de six commissions techniques mixtes constituées de représentants de Bank Al-Maghrib et des banques, avec la présence d'un représentant du Ministère des finances.

Chacune de ces commissions techniques a été chargée de l'examen d'un aspect particulier du nouveau dispositif (risques de crédit, risques de marché, risques opérationnels, pilier 2, pilier 3 et relation Bâle II et normes IFRS). Les travaux de ces commissions techniques se sont déroulés conformément au planning établi par Bank Al-Maghrib.

Les propositions des commissions techniques sont validées par un comité de pilotage, composé de responsables de la Direction de la Supervision Bancaire et des Directions Générales des banques.

L'adoption des approches standards au titre des risques de crédit, de marché et opérationnels par les principales banques marocaines est effective depuis le deuxième semestre de l'année 2007, conformément au planning prévu initialement.

 En vue d'une meilleure gestion des risques encourus par les établissements de crédit, Bank Al-Maghrib a édicté, en 2007, un ensemble de circulaires et directives. Elle a également renforcé son dispositif de surveillance via des reporting spécifiques et des enquêtes périodiques.

b) Dispositions relatives à la gestion du risque opérationnel :

Pour une meilleure gestion du risque opérationnel, Bank Al-Maghrib a édicté un ensemble de circulaire et de directives.

v Le circulaire 26/G/2006 relatif aux exigences en fonds propres au titre du risque opérationnel.

Les banques sont tenues de calculer, sur base individuelle et consolidée, les exigences de fonds propres nécessaires pour la couverture de leurs risques opérationnels conformément aux approches décrites dans les articles suivants.

Article 56

On entend par risque opérationnel, le risque de pertes résultant de carences ou de défaillances inhérentes aux procédures, au personnel et aux systèmes internes ou à des événements extérieurs. Cette définition inclut le risque juridique, mais exclut les risques stratégiques et de réputation.

Article 57

Les établissements sont tenus de calculer l'exigence en fonds propres nécessaire pour la couverture de leurs risques opérationnels conformément à l'une des trois approches suivantes :

- l'approche indicateur de base ;

- l'approche standard ;

- l'approche standard alternative.

Le choix de l'une des deux dernières approches est conditionné par l'autorisation préalable de Bank Al-Maghrib.

I) calcul de l'exigence en fonds propres selon l'approche indicateur de base

Article 58

L'exigence en fonds propres, selon l'approche indicateur de base, est égale à 15 % de la moyenne du

produit net bancaire, calculée sur 3 ans.

Cette moyenne est déterminée sur la base des trois derniers produits nets bancaires, calculés sur une période d'un an, arrêtés à fin juin ou à fin décembre de chaque exercice.

Seuls les produits nets bancaires positifs sont pris en considération dans le calcul de cette moyenne.

II) calcul de l'exigence en fonds propres selon l'approche standard

Article 59

Pour l'application de l'approche standard, les établissements sont tenus de ventiler leurs activités en huit lignes de métier telles que précisées à l'article 60 ci-dessous.

L'exigence globale en fonds propres est égale à la moyenne sur trois ans des sommes des exigences en fonds propres de toutes les lignes de métier pour chaque année.

Cette moyenne est déterminée sur la base des trois dernières exigences en fonds propres, calculées sur une période d'un an, arrêtées à fin juin ou à fin décembre de chaque exercice.

L'exigence en fonds propres correspondant à une année donnée, est égale à la somme des produits nets bancaires, positifs ou négatifs, des huit lignes de métiers, multipliée par le coefficient de pondération correspondant, tels que précisés à l'article 60 ci-dessous.

Lorsque l'exigence en fonds propres, au titre d'une année donnée, est négative, elle est prise en compte en tant que valeur nulle.

Article 60

Les lignes de métiers visées à l'article 59 ci-dessus et les coefficients de pondération correspondants sont les suivants :

Lignes de métiersCoefficient de pondérationFinancement des entreprises18 %Activités de marché18 %Banque de détail12 %Banque commerciale 15 %Paiement et règlement 18 %Courtage de détail 12 %Service d'agence15 %Gestion d'actifs12 %Article 61

L'utilisation de l'approche standard est subordonnée au respect préalable des recommandations édictées par Bank Al-Maghrib en matière de gestion des risques opérationnels.

III) calcul de l'Exigence en fonds propres selon l'approche standard ALTERNATIVE

Article 62

L'exigence en fonds propres, selon l'approche standard alternative, est égale à la somme des exigences en fonds propres pour les lignes de métiers « banque de détail » et « banque commerciale » et de celles des six autres lignes de métiers.

L'exigence en fonds propres relative aux lignes de métiers « banque de détail » et « banque commerciale » est égale à la moyenne, sur trois ans, des encours de crédit bruts pondérés par 15 %, multipliée par 0,035.

Cette moyenne est déterminée sur la base des trois derniers encours de crédit, calculés sur une période d'un an, arrêtés à fin juin ou à fin décembre de chaque exercice.

L'exigence en fonds propres relative aux six autres lignes de métiers est égale à la moyenne, sur trois ans, du produit net bancaire correspondant à ces lignes de métiers, affectée d'un coefficient de pondération de 18 %.

Cette moyenne est déterminée sur la base des trois derniers produits nets bancaires, calculés sur une période d'un an, arrêtés à fin juin ou à fin décembre de chaque exercice.

Le circulaire n° 26/G/2006 relative aux exigences en fonds propres portant sur les risques de crédit, de marché et opérationnels transpose les normes du Nouvel accord sur les fonds propres (Bâle II).

v Le circulaire N°40/G/2007 relatif au contrôle interne :

Le circulaire relative au contrôle interne des établissements de crédit datant de 2001 a fait l'objet d'une refonte, en vue d'une plus grande convergence avec les normes prévues en la matière par le Comité de Bâle notamment celles découlant du Nouvel accord sur les fonds propres (Bâle II) et des 25 principes fondamentaux pour un contrôle bancaire efficace tels que révisés.

Un ensemble d'aménagements apportés à l'ancien cadre ont donné lieu au circulaire N°40/G/2007 relative au contrôle interne qui a pour but principale le renforcement du système de contrôle interne des établissements de crédits.

En faite tout établissement de crédit est tenus de mettre en place un système de contrôle interne adopté à sa taille ainsi qu'a la nature, au volume et à la complexité de ces activités.

Le système consiste en un ensemble de dispositif conçus et mis en oeuvre par l'organe de la direction (direction générale, directoire ou toute autre instance équivalente) et valider par l'organe d'administration (conseil d'administration, conseil de surveillance ou toute autre instance équivalente) en vue d'assurer en permanence, notamment :

o La vérification des opérations et des procédures internes

o la mesure, la maîtrise et la surveillance des risques.

o la fiabilité des conditions de collecte, de traitement, de diffusion et de conservation des données comptables et financières.

o l'efficacité des canaux de circulation interne de la documentation et de l'information ainsi que de leur diffusion auprès des tiers.

  Les établissements doivent s'assurer que les systèmes de contrôle interne mis en place remplissent les caractéristiques suivantes :

o cohérents et compatibles de manière à permettre une surveillance et une maîtrise des risques au niveau du groupe et la production des informations requises par Bank Al-Maghrib dans le cadre de la surveillance consolidée de l'établissement.

o adaptés à l'organisation du groupe ainsi qu'à l'activité des entités contrôlées.

Le circulaire décrit les dispositifs de conception et de mise en oeuvre et suivi des activités de contrôle interne, l'Amélioration de la gouvernance au sein des établissements de crédit en renforçant notamment le rôle du comité d'audit et de l'audit interne dans la surveillance du dispositif de contrôle interne et l'obligation d'avoir un dispositif de mesure, de maitrise et de surveillance des risques.

Le circulaire sur le contrôle interne reprend la définition des risques opérationnels telle qu'elle est formulée par le Nouvel accord sur les fonds propres et insiste sur la nécessité d'une part, de mettre en place des dispositifs de mesure, de maîtrise et de surveillance des risques opérationnels et d'autre part, de disposer d'un plan de continuité d'activité de nature à permettre d'assurer le fonctionnement continu des activités et de limiter les pertes en cas de perturbations dues aux événements majeurs liés aux risques opérationnels. Elle prévoit également la désignation d'un responsable du plan de continuité d'activité chargé de la mise en oeuvre des mesures qui s'y rapportent.

A cet égard et dans le cadre de l'implémentation de Bâle II, Bank Al-Maghrib a procédé à la publication de deux directives qui s'inspirent des recommandations du Comité de Bâle en la matière.

Une directive relative à la gestion des risques opérationnels reprend l'ensemble des principes devant régir le dispositif de gestion et de surveillance des risques opérationnels. Elle met l'accent sur la nécessité, pour les établissements de crédit, d'avoir une compréhension parfaite de ces risques et d'en établir une cartographie précise, tout en prévoyant dans le système de contrôle interne des dispositifs spécifiques visant à surveiller périodiquement l'efficience du système de gestion des risques opérationnels.

Cette directive  constitue un référentiel de saines pratiques pour la mise en place par les établissements de crédit d'un dispositif de gestion des risques opérationnels à même de leur permettre d'identifier les sources potentielles de tels risques et d'en assurer la mesure, le suivi, le contrôle et l'atténuation en rapport avec leurs tailles et profils de risque ainsi que la complexité de leurs activités.

Elle a porté sur des aspects essentiels tels que :

· Surveillance des risques opérationnels par les organes d'administration et de direction.

· Système d'identification, de mesure, de suivi, de maîtrise et d'atténuation des risques opérationnels.

· Contrôle du système de gestion des risques opérationnels.

· Plan de continuité d'activité.

Les établissements de crédit souhaitant adopter les approches standard ou alternative au titre des dispositions portant sur les risques opérationnels de la circulaire 26/G/2006 précitée, devront se conformer aux principes de ladite directive.

Selon la Directive relative au dispositif de gestion des risques opérationnel

II- Définition des risques opérationnels

Aux termes de l'article 56 de la circulaire 26/G/2006, les risques opérationnels sont définis comme étant les risques de pertes résultant de carences ou de défaillances inhérentes aux procédures, au personnel et aux systèmes internes ou à des événements extérieurs.
Cette définition inclut le risque juridique, mais exclut les risques stratégiques et de réputation.

III- Sources potentielles des risques opérationnels

Les dispositifs de gestion des risques opérationnels permettent d'identifier l'ensemble des sources majeures des risques opérationnels et de couvrir au moins celles mentionnées ci-après :
- Fraude interne : Tout acte impliquant au moins une partie interne à l'établissement et visant à détourner des biens, des règlements ou des paiements, ou à contourner des dispositions légales ou réglementaires (informations inexactes sur les positions, vol commis par un employé, opérations ou activités non autorisées, transactions sciemment non notifiées, détournement de fonds, falsification de documents, délit d'initié, commissions occultes,...).
- Fraude externe : Tout acte imputable à des tiers visant à détourner des biens, des règlements ou des paiements, ou à contourner des dispositions légales ou réglementaires (vol, fraude, dommages liés au piratage informatique, contrefaçon, falsification de chèques,...).
- Pratiques inappropriées en matière d'emploi et de sécurité sur les lieux de travail : Tout acte non conforme au code du travail ou aux conventions collectives relatives à l'emploi, la santé ou la sécurité des employés, ou susceptible de donner lieu à des demandes d'indemnisation au titre d'un dommage personnel, d'atteinte à l'égalité des employés ou d'actes de discrimination, d'activités syndicales ou de responsabilité civile d'une manière générale.
- Pratiques inappropriées concernant les clients, les produits et l'activité commerciale : Tout manquement, non intentionnel ou dû à la négligence, à une obligation professionnelle envers des clients ou imputable à la nature ou la conception d'un produit donné (violation de la confidentialité des informations sur la clientèle, blanchiment de fonds, exercice illégal de certaines activités soumises à agrément, vente agressive, dépassement des limites d'exposition autorisées pour un client,..).
- Dommage aux biens physiques : Destructions ou dommages résultant d'une catastrophe naturelle ou d'autres sinistres (vandalisme, terrorisme,...).
- Interruption d'activité et pannes de systèmes : dysfonctionnement de l'activité (interruption ou perturbation d'un service) ou des systèmes (matériel informatique, logiciel, télécommunication,...).
- Inexécution des opérations, livraisons et processus : problèmes dans le traitement d'une opération ou dans la gestion des processus ou des relations avec des fournisseurs et d'autres contreparties commerciales (données incorrectes ou erronées sur des clients, pertes ou endommagement d'actifs de la clientèle, documentation légale insatisfaisante, gestion des sûretés inadéquate, inexactitudes dans les rapports externes,...).

IV- Surveillance des risques opérationnels par les organes d'administration et de direction

A- Organe d'administration

L'organe d'administration (conseil d'administration, conseil de surveillance ou toute instance équivalente) approuve la mise en place du dispositif de gestion des risques opérationnels en tant que catégorie de risques distincte. A cet effet, il définit de manière claire et précise les orientations et principes sous-tendant le dispositif devant être mis en place par l'organe de direction et approuve les politiques y afférentes élaborées par ce dernier.
Le dispositif de gestion des risques opérationnels prend en compte le niveau acceptable, par l'établissement, de tels risques, en précisant les politiques de leur gestion et la priorité donnée à leur mise en application, ainsi que les conditions dans lesquelles la gestion de ces risques peut être éventuellement confiée à une entité externe à l'établissement. Le dispositif comporte également des politiques définissant la méthodologie d'identification, d'évaluation, de suivi et de maîtrise et/ou d'atténuation des risques. Le niveau de formalisation et de complexité de ce dispositif doit correspondre au profil de risque de l'établissement. Il définit, en outre, les processus essentiels à mettre en place pour la gestion de ces risques.
L'organe d'administration peut confier à un comité ad hoc la charge de la mise en oeuvre du dispositif de gestion des risques opérationnels de l'établissement. Il veille également à la mise en place d'un contrôle interne solide. A cet effet, il est particulièrement important que soient définis de manière claire les niveaux de responsabilité et de reporting en distinguant les fonctions de contrôle des risques, les unités opérationnelles et les fonctions support afin d'éviter tous conflits d'intérêts.
L'organe d'administration procède, régulièrement, à l'évaluation du dispositif mis en place pour s'assurer de la bonne prise en charge des risques opérationnels résultant d'évolutions extérieures ainsi que de ceux liés aux produits, activités ou systèmes nouvellement mis en place. Ce réexamen a pour objet de déterminer les pratiques les mieux adaptées aux activités, systèmes et processus de l'établissement. L'organe d'administration veille à ce que le dispositif de gestion des risques opérationnels soit révisé à la lumière de cette analyse, de façon à prendre en compte les risques opérationnels importants.

B- Organe de direction

L'organe de direction (direction générale, directoire ou toute instance équivalente) assure la déclinaison du dispositif de gestion des risques opérationnels, tel qu'agréé et validé par l'organe d'administration, en politiques, processus et procédures précis pouvant être appliqués et contrôlés au sein des diverses entités de l'établissement. Il veille également à doter les fonctions ou services, en charge de cette mission, des ressources appropriées et à évaluer l'adéquation du processus de surveillance de cette gestion au regard des risques inhérents à l'activité de chaque unité de l'établissement.
L'organe de direction s'assure, en outre, que les agents dédiés aux activités bancaires disposent de l'expérience professionnelle et de l'expertise technique requises et que les préposés au contrôle du respect de la politique en matière de risques opérationnels soient investis d'une autorité indépendante à l'égard des unités qu'ils surveillent.
Il veille, de même, à la diffusion de la politique de gestion des risques opérationnels au profit de l'ensemble du personnel et à la mise en place de canaux garantissant une communication efficace entre le responsable de la gestion des risques opérationnels et les responsables chargés de la gestion des autres catégories de risques (risques de crédit, de marché,...), ainsi qu'avec ceux chargés des relations avec les entités fournissant des services externes (par exemple, sociétés d'assurance et sociétés de sous-traitance).
L'organe de direction porte une attention particulière à la qualité du contrôle de la documentation et aux pratiques d'exécution des transactions. En particulier, les politiques, processus et procédures liés aux technologies modernes, traitant d'importants volumes de transactions, devraient être bien documentés et diffusés à l'ensemble du personnel.

V- Système d'identification, de mesure, de suivi, de maîtrise et d'atténuation des risques opérationnels

A- Identification et mesure des risques opérationnels

Le système de gestion des risques opérationnels permet d'identifier les risques les plus significatifs et d'apprécier la vulnérabilité de l'établissement à ces risques. A cet effet, il prend en compte à la fois les facteurs internes (notamment la nature des activités, la qualité des ressources humaines, les modifications de l'organisation et le taux de rotation du personnel) et externes (notamment les évolutions du secteur bancaire et les progrès technologiques).
Pour identifier et évaluer leurs risques opérationnels, les établissements peuvent recourir aux techniques suivantes :
- autoévaluation : Les opérations et les activités de l'établissement sont évaluées sur la base de l'examen d'un ensemble de points potentiellement exposés aux risques opérationnels.

Ce processus repose, en général, sur un ensemble de contrôles effectués en interne et destinés à identifier les forces et faiblesses de l'environnement opérationnel. Les différents types d'expositions aux risques opérationnels font l'objet d'un classement sur la base d'une matrice de scoring qui prend en considération les instruments d'atténuation de ces risques.
La matrice en question permet de convertir les évaluations qualitatives en mesures quantitatives et de recenser les risques propres à une activité donnée, ainsi que ceux qui sont transversaux à plusieurs activités. Elle peut également être utilisée pour l'affectation, aux diverses activités, des fonds propres économiques destinés à couvrir les risques opérationnels.
- cartographie des risques : Dans le cadre de ce processus, les diverses unités, fonctions organisationnelles et chaînes d'opérations sont déclinées en catégories de risques opérationnels, permettant ainsi à l'organe de direction d'identifier les zones de risques et d'établir des priorités pour les actions à entreprendre.
- indicateurs de risque : Etablis sur la base de statistiques et/ou de diverses mesures, souvent à caractère financier, les indicateurs de risque (nombre d'opérations non exécutées, mobilité des effectifs, fréquence et/ou gravité des erreurs et omissions,...) donnent une idée sur l'exposition de l'établissement aux risques opérationnels.

Ces indicateurs sont généralement revus de façon périodique de manière à tenir informés les organes d'administration et de direction sur les changements porteurs de risques.

B- Suivi des risques opérationnels

Outre le suivi des cas de pertes opérationnelles, les établissements mettent en place des indicateurs d'alerte avancés, qui leur permettent d'identifier les sources potentielles de risques opérationnels (taux de croissance anormalement élevé, lancement de nouveaux produits, rotation des employés, ruptures de transactions, pannes de système). Ces indicateurs comportent généralement des seuils, dont le dépassement déclenche la mise en oeuvre d'actions préventives.
Le suivi des risques opérationnels doit faire partie intégrante de l'activité de l'établissement. La périodicité de ce suivi est adaptée aux risques ainsi qu'à la fréquence et à la nature des changements de l'environnement opérationnel.
La mise à la disposition de l'organe d'administration d'informations opportunes lui permettrait d'apprécier le profil global de l'établissement vis-à-vis des risques opérationnels et d'appréhender les retombées pratiques et stratégiques découlant de ces risques.
En outre, les services concernés de l'établissement (unités opérationnelles, fonctions de groupe, responsable chargé du suivi des risques opérationnels, audit interne,...) établissent régulièrement, à l'attention des niveaux appropriés de la direction et aux lignes d'activité générant les expositions aux risques, des rapports sur les risques opérationnels.
Ces rapports intègrent les données internes (aspects financiers, opérations et conformité), ainsi que les informations externes (de marché) relatives aux événements et conditions susceptibles d'influencer le processus de décision. Ils doivent porter sur l'ensemble des zones de risques identifiées et donner lieu à des actions correctives rapides. Leurs résultats peuvent servir de base pour la mise en place de politiques, procédures et pratiques de gestion des risques plus appropriées.
Pour s'assurer de l'exhaustivité et de la fiabilité de ces rapports, l'organe de direction vérifie régulièrement la rapidité, l'exactitude et la pertinence des systèmes de reporting et des contrôles internes.
Lorsque les risques opérationnels identifiés sont importants, les mesures appropriées doivent être prises rapidement en vue de ramener à un niveau maîtrisable l'exposition à ces risques. A défaut, le positionnement de l'établissement par rapport à l'activité générant ces risques devrait faire l'objet de révision.
Les établissements mettent en place des processus et procédures de contrôle, ainsi qu'un système assurant la conformité des opérations à un ensemble de politiques internes dûment documentées.
Les politiques et procédures, formalisées et documentées, doivent être appuyées par une solide culture de contrôle favorisant la mise en oeuvre de saines pratiques de gestion des risques opérationnels. Dans ce sens, il incombe aux organes d'administration et de direction de mettre en place un solide processus de contrôle interne encadrant toutes les activités de l'établissement, afin d'assurer la réactivité nécessaire vis-à-vis de tout événement imprévu.

C- Maîtrise et atténuation des risques opérationnels

Les établissements veillent à adopter des pratiques internes visant à assurer la maîtrise et l'atténuation des risques opérationnels, telles que :
- le suivi attentif du respect des limites et seuils de risque fixés ;
- la sécurisation de l'accès aux patrimoines et archives de l'établissement et de leur utilisation ;
- la mise à niveau des compétences et de la formation des agents ;
- l'identification des activités et produits dont les rendements paraissent disproportionnés par rapport à des attentes raisonnables ;
- la vérification et le rapprochement réguliers des opérations et des comptes.

Les activités externalisées font l'objet de politiques appropriées de gestion des risques. Le recours à des prestataires de services externes ne diminue pas la responsabilité des organes d'administration et de direction, à qui il incombe de veiller à ce que l'activité de ses prestataires soit menée de façon sûre et saine, dans le respect du cadre réglementaire applicable. Les contrats d'externalisation doivent être solides et reposer sur des conventions de service assurant une répartition claire des responsabilités entre les prestataires de service externes et l'établissement. En outre, la gestion des risques résiduels liés à ces contrats d'externalisation, y compris toute perturbation dans l'offre de services, doit être prise en charge par l'établissement.

VI- Contrôle du système de gestion des risques opérationnels

Les établissements mettent en place un système d'audit interne qui vérifie périodiquement que le dispositif de gestion des risques opérationnels est mis en oeuvre avec efficacité au niveau de l'ensemble de l'établissement.
L'organe d'administration s'assure de l'adéquation du système d'audit interne et de sa capacité à vérifier que les politiques et procédures opérationnelles sont correctement mises en place. Il veille, en outre, directement ou par l'intermédiaire du comité d'audit, à ce que la portée et la fréquence du programme d'audit interne concordent avec le degré d'exposition aux risques opérationnels.
La fonction d'audit interne peut fournir des indications précieuses aux personnes responsables de la gestion des risques opérationnels, mais elle ne doit pas être, elle-même, chargée de responsabilités directes à cet égard. Aussi, il importe de veiller à son indépendance et à sa non implication dans le processus de gestion au jour le jour des risques opérationnels, notamment dans le cas où elle serait chargée du suivi du dispositif de gestion des risques opérationnels ou de l'élaboration du programme de leur gestion.

VII- Plan de continuité de l'activité

En vue d'assurer le fonctionnement continu de leurs activités et de limiter les pertes en cas de fortes perturbations des opérations dues aux événements majeurs, les établissements se dotent d'un plan de continuité de l'activité et désignent un responsable chargé d'assurer la mise en oeuvre des mesures liées à ce plan.
Les établissements revoient périodiquement ces plans et les testent pour vérifier qu'ils sont en mesure de les mettre en oeuvre, même dans les situations de crises dont l'occurrence est très peu probable.

VIII- Reporting destiné à Bank Al-Maghrib

Les établissements communiquent périodiquement à la Direction de la supervision bancaire de Bank Al-Maghrib un reporting spécifique sur les pertes générées par les risques opérationnels. Celle-ci peut demander d'autres informations portant sur ces risques.

Le renforcement du dispositif de gestion du risque opérationnel dans les banques marocaine se manifeste aussi par la mise a jour des systèmes d'information et l'intégration de nouvelles technologies citant a titre d'exemple Le Crédit Immobilier et Hôtelier (CIH) qui est une banque Marocaine dédiée principalement à la clientèle des particuliers et à la promotion immobilière , a choisi la solution FrontGRC d'eFront pour répondre aux Exigences de Bâle II en matière de dispositif de gestion des risques opérationnels.

La solution est déployée auprès de 320 utilisateurs a permis au CIH de s'engager dans un processus de renforcement de son dispositif de surveillance prudentielle, conformément aux directives émises par la Bank Al Maghrib (« BAM ») dans ce domaine.

2. Etat des lieux en Tunisie :

a) Environnement légale et réglementation en Tunisie :

Conçu pour une application universelle, la Tunisie est convaincue de prendre les démarches nécessaires pour migrer vers Bâle II, le fait d'adopter les règles prudentielles de Bâle II et le passage au processus d'évaluation des risques nécessite une préparation aussi bien du cadre juridique que de l'environnement bancaire.

Pour le secteur bancaire Tunisien l'entré en vigueur des règles de Bâle II est prévue a l'horizon 2010.

Afin de réussir l'implantation des accords et atteindre les objectifs suivant : arriver à faire correspondre les FPR aux risques encourus ; améliorer la gestion des risques ; renforcer le rôle des superviseurs et renforcer le rôle de la discipline de marché et de transparence et un système qui tend a renforcé la stabilité financière dans le pays ; une commission stratégique a été crée dans ce contexte.

v Aperçue sur la structure du système bancaire en Tunisie :

v Aperçue sur la démarche d'implantation de l'accord de Bâle II

Comme tout les banques centrales du monde qui ont migré vers les accords de Bâle2, la banque centrale de Tunisie BCT est responsable elle aussi de la transposition législative ou réglementaire des recommandations Baloises.

En effet le processus organisationnel pour l'implantation des accords baloise en Tunisie s'organise comme suit :

Une commission stratégique, des comités techniques et une démarche unifiée.

o La commission stratégique :

La commission stratégique regroupe la profession bancaire, le ministre des finances, le CMF et l'ordre des experts comptable et les universitaires. Elle a la charge d'élaborer un programme exécutif destiné à préparer le secteur bancaire à l'adoption de nouvelle règles de Bâle II. La création d'une Commission stratégique au sein de la Banque Centrale de Tunisie s'est fait dans le but d'aider le secteur à savoir doser et s'adapter  aux capacités du pays, afin de faire de ce système « Bâle II » un levier de croissance plutôt qu'une contrainte pour le développement et la création de richesse.

o Comités techniques :

Quatre comités : comité de risque de crédit et de marché, un comité de risque opérationnel, un comité de surveillance prudentielle et un comité de discipline de marché.

Ces comités ont pour mission l'examen des aspects techniques du nouveau dispositif prudentiel, transposition de Bâle II en Tunisie, conduite d'études d'impact et élaboration d'état de reporting.

La démarche unifiée vise a :

L'identification exacte des exigences de Bâle II

Diagnostic de l'état des lieux en Tunisie

La détermination du gap par rapport aux exigences Baloises

Proposition des mesures pour combler ce gap.

Et le but de ce choix organisationnel est d'assurer une large participation de toutes les parties prenantes et imprégner tous les intervenants par la dynamique de Bâle II afin de faciliter la mise en place et le suivi.

On n'a pas de calendrier précis pour la mise en place de Bâle II mais un calendrier prévoit que les fins des travaux de comités techniques sont prévues pour la fin de 2008 ; une probabilité de publication des textes législatifs et réglementaire courant 200910(*) et une mise en place effective a l'horizon 2010.

b) Dispositions relatives à la gestion du risque opérationnel :

Pour l'instant pas de circulaire relatif aux exigences en fonds propres au titre du risque opérationnel ; mais la banque centrale prévoie l'utilisation de l'approche des mesures avancées et entre temps l'adoption de l'approche indicateur. D'autres éléments de réflexion sont en cours comme la Création au sein des banques de structure dédiée au risque opérationnel ; la Création, au sein de l'APTBEF, d'un comité chargé de définir la cartographie des risques opérationnels au titre des activités les plus partagées par le secteur ; la prospection de solution informatique pour prise en charge de ce risque et la mise en place, au niveau de la BCT, d'une base de données relative aux incidents sur risque opérationnel.

v Circulaire N°2006-19 dédié au contrôle interne :

La mise en place d'un système de contrôle interne et d'un comité permanent d'audit interne sont les dispositions pris par la banque centrale de Tunisie par le biais du circulaire n°2006-19 dédié au contrôle interne afin de mieux gérer et maitriser le risque opérationnel .

Le développement du système de contrôle interne doit être adapté à la nature et au volume des activités des établissements de crédit ainsi qu'à leurs tailles et aux risques auxquels ils sont exposés.

Selon les dispositions de ce circulaire la conception du système de contrôle interne incombe à l'organe de direction (direction générale ou directoire) qui doit à cet effet :

- identifier l'ensemble des sources de risques internes et externes ;

- mettre en place un système d'évaluation des divers risques et de mesure de la rentabilité ;

- élaborer un système reliant le niveau des fonds propres aux risques ;

- définir les procédures de contrôle interne adéquates ;

- définir une méthode de surveillance du respect des politiques internes ; et

- prévoir les moyens humains et matériels nécessaires à la mise en oeuvre du contrôle interne.

Le système de contrôle interne doit être approuvé par le conseil d'Administration ou le Conseil de Surveillance.

Le Comité Permanent d'Audit Interne est appelé à procéder :

A la vérification de la clarté des informations fournies et à l'appréciation de la cohérence des systèmes de mesures, de surveillance et de maîtrise des risques.

A l'examen des insuffisances du fonctionnement du système de contrôle interne relevées par les différentes structures de l'établissement de crédit ou de la banque non résidente et autres organes chargés des missions de contrôle et l'adoption des mesures correctrices.

Au contrôle et de la coordination des activités de la structure d'audit interne et le cas échéant les travaux des autres structures de l'établissement de crédit ou de la banque non résidente chargées des missions de contrôle.

A l'agrément de la désignation du responsable de la structure chargée de l'audit interne ainsi que des auditeurs.

A la proposition de la nomination du ou des commissaires aux comptes et/ou des auditeurs externes et donne un avis sur le programme et les résultats de leurs contrôles.

Pour la couverture du risque opérationnel les établissements de crédit et les banques non résidentes doivent :

§ Disposer de plans de continuité de l'activité qui consistent en un ensemble de mesure visant à assurer, selon divers scénarios de crises, y compris face à des chocs extrêmes, le maintien, le cas échéant de façon temporaire, des prestations de services essentielles de l'établissement de crédit ou de la banque non résidente puis la reprise planifiée des activités ;

§ S'assurer de la cohérence et de l'efficacité de ces plans de continuité de l'activité dans le cadre d'un plan global qui intègre les objectifs définis par l'établissement de crédit ou la banque non résidente ;

§ S'assurer que leur organisation et la disponibilité de leurs ressources humaines, immobilières, techniques et financières font l'objet d'une évaluation régulière au regard des risques liés à la continuité de l'activité.

Et d'autre mesures sont mises en place pour la une maitrise du risque comme le contrôle relatif au système d'information qui se matérialise par le fait de s'assurer de l'adaptation de leur système d'information à leur niveau d'activité et à la nature de leurs risques. Que le niveau de sécurité est périodiquement apprécié et que, le cas échéant, les actions correctrices sont mise en place à temps et que des procédures de secours informatique sont disponibles. Ces procédures doivent être testées périodiquement en vue de s'assurer de leur bon fonctionnement.

Les supports de l'information et de la documentation relatifs à l'analyse et à l'exécution des programmes doivent être conservés dans des conditions présentant le maximum de sécurité contre les risques de détérioration, de manipulation ou de vol.

Tout un chapitre a été réservé pour le risque opérationnel dont lequel il ya un rappel de la définition de ce risque conformément a la définition de Bâle II, et l'obligation de se doter d'un système qui permet la gestion du risque opérationnel comme prévue par les articles suivants :

LE RISQUE OPERATIONNEL

Article 45 :

Le risque opérationnel se définit comme étant le risque de pertes résultant de carences ou de défaillances attribuables à la conception, à l'organisation et à la mise en oeuvre des procédures, aux erreurs humaines ou techniques ainsi qu'aux événements extérieurs. La définition inclut, entre autres, le risque juridique mais exclut les risques stratégiques et de réputation.

Article 46 :

Les établissements de crédit et les banques non résidentes doivent être dotés d'un système de gestion du risque opérationnel permettant de s'assurer que les risques qui pourraient découler de défaillance ou d'insuffisance de procédures et d'erreurs humaines ou techniques sont identifiés et mesurés périodiquement.

Ce système doit permettre d'évaluer l'adéquation de leurs fonds propres au regard de ce risque et faire l'objet d'un examen périodique conformément au point b de l'article 7 de la présente circulaire et d'une vérification par les commissaires aux comptes. Ces examens doivent porter sur les activités des unités et sur la fonction indépendante de gestion du risque opérationnel.

Article 47 :

Les établissements de crédit et les banques non résidentes doivent enregistrer systématiquement les données relatives au risque opérationnel, notamment les pertes significatives par catégorie d'activité. Le système d'évaluation doit être étroitement intégré aux processus de gestion des risques de l'établissement de crédit et de la banque non résidente. Les données qu'il produit doivent faire partie intégrante de ses processus de

Surveillance et de contrôle du profil de risque opérationnel.

L'exposition au risque opérationnel (et notamment les pertes importantes subies), doit être régulièrement notifiée à la direction de l'unité concernée, à l'organe de direction et au Conseil d'Administration ou de Surveillance.

L'établissement de crédit et la banque non résidente doivent disposer de procédures leur permettant de prendre les mesures correctrices à la lumière des rapports à l'organe de direction.

La Banque Centrale de Tunisie est en phase de travaux préparatoire pour la mise en place au sein de ces banques d'un dispositif conforme aux exigences de Bâle II.

Quelque soit l'approche de mesure choisit par la banque centrale du Maroc (qui a opté pour l'approche standard dés l'année 2008) et la Tunisie (prévoie l'utilisation de l'approche d'indicateur de base) ; leurs établissements sont les plus concernés pour réussir la gestion active du risque opérationnel. 

* 10 Suite aux développements récents liée a la crise international, il semblerait que la date butoir de transposition des accords de Bale II en Tunisie (a travers les textes réglementaire à publier par BCT) est reportée au de-là de 2010.

précédent sommaire suivant







® Memoire Online 2007 - Pour tout problème de consultation ou si vous voulez publier un mémoire: webmaster@memoireonline.com