SECTION II : LA DÉMARCHE
D'IMPLÉMENTATION D'UN DISPOSITIF DE GESTION DU RISQUE
OPÉRATIONNEL
Le déploiement d'un dispositif de gestion du risque
opérationnel efficace représente un défi pour les
établissements de crédits, en fait depuis les premières
publications du comité de Bâle relatives au risque
opérationnel, les établissements de crédit se trouvent
dans l'obligation de prendre les démarches nécessaires pour
réussir l'implémentation du processus de gestion du risque
opérationnel conformément aux exigences des accords de Bâle
II.
Même si le Maroc de sa part a adopté l'approche
standard pour la mesure du risque opérationnel et prévoit,
à moyen terme, l'utilisation des approches avancées dans et
d'autre part la Tunisie qui est en phase préparatoire pour l'utilisation
de l'approche standard ; leurs établissements bancaires ont
intérêt à adopter une méthodologie qui aide
à définir et mettre en place une approche structurée au
niveau de leurs organisations pour identifier, évaluer et gérer
le risque opérationnel de manière efficace et à un
coût supportable, car la gestion des risques opérationnels, c'est
d'abord une organisation, un système d'information, des reporting, des
règles de décision et un ensemble de procédures et de
normes. En fait le choix de l'approche de mesure du risque opérationnel
que se soit l'approche standard ou avancée nécessite des
prés requis au niveau organisationnel, outils, procédure et
système d'information.
En veillant au respect des exigences de l'accord de Bâle
II pour la gestion du risque opérationnel et afin de réussir une
gestion active de ce dernier risque, on propose le cadre conceptuel suivant
: 
Et pour arriver aux fins de ce cadre
conceptuel, nous présentons les facteurs clés pour réussir
une gestion active du risque opérationnel.
1. Cartographie des risques :
La conception d'une cartographie des risques constitue la
première étape, absolument cruciale, dans l'identification des
pertes, et donc dans l'estimation des risques, au sein d'une organisation. Son
exploitation est une phase-clé, fondamentale, a la fois pour la
modélisation de la distribution des pertes et le calcul du capital, mais
aussi pour la gestion active des risques.
Plusieurs étapes sont à parcourir afin
d'aboutir à la conception d'une cartographie des risques.
Etape 1 : Découpage de l'activité par
ligne de métier selon les critères du régulateur.
Etape 2 : Décomposer chaque ligne de métier
en processus : Un processus métier désigne un ensemble de
tâches coordonnées en vue de fournir un produit ou un service
à la clientèle.et le manuel de procédure représente
un outil intéressant pour cette phase.
Etape3 : A chaque étape du processus on associe
ensuite les incidents susceptibles d'en perturber le déroulement et
d'entraîner le non réalisation des objectifs du processus (en
termes de résultat concret, ou en termes de délais).
Etape 4 : Pour chaque événement le risque
est évalué en terme de
· Probabilité d'occurrence
· Perte encourue en cas de réalisation.
Etape 5 : Construire une matrice de risque : il
s'agit d'un graphe à deux dimension, la sévérité et
la fréquence.la matrice est divisé en zones selon le niveau de
risque et la nécessité des contrôles.
En fait Le recueil, la formulation, et la qualification des
risques opérationnels en vue de la cartographie est un processus «
bottom-up ».
Cette cartographie s'appuie sur une analyse des processus
métier à laquelle on croise la typologie des risques
opérationnels.
Chaque événement à risque doit être
rattaché à une catégorie de risques
rendant ensuite l'analyse des données plus facile et rapide, et
sur le plan organisationnel à la ligne métier
où l'incident a eu lieu.
la collecte des données de perte interne par un
établissement bancaire constitue la première des conditions
quantitatives d'agrément par le comité de Bâle dans les
méthodes de mesures complexes, donc la collecte des données
d'incidents est un point clé de l'organisation de gestion des risques
et il convient de mettre en place des canaux de communications facilitant la
remontée des informations venant de toutes les entités,
département vers un département central qui centralise toute
l'information afin de constituer une base de données des incidents.
2. Constitution d'une base de données :
Pour légitimer l'emploi des méthodes standards
ou avancé, la banques devra être dotée d'un dispositif de
collectes des incidents accessible par touts les entités et la
conception d'une base de donné dédier pour stocker les incidents
et en vue de posséder les 3 ans d'historique de pertes requis par le
régulateur et qui doit être actualisé d'une manière
permanente.
La collecte des événements de perte s'appuie sur
la cartographie précédemment établie pour le recensement
et le référencement des incidents. Elle permet par ailleurs, par
un effet rétroactif, de peaufiner cette cartographie.
En effet, les risques opérationnels sont par nature
diffus et existent dans chaque service, chaque entité et à tout
niveau organisationnel de la banque. La formulation et la centralisation des
risques opérationnels par processus métier imposent donc de faire
appel aux lignes de reporting préexistantes et tenter de regrouper
celles-ci dans un système cohérent et standardisé.
Cette option de collecte de données peut être la
plus aisée à mettre en oeuvre. Ainsi chaque entité
spécialisée dans la gestion d'un type de risque en assure aussi
le reporting des pertes. En voici quelques exemples :
Sécurité informatique : la cellule
de maintenance et de sécurité informatique est chargée de
rapporter l'ensemble des incidents, pannes informatique, attaques du
système ayant eu lieu au sein de l'organisation et engendrer un impacte
négative sur le compte de perte et profit du service de la banque ou un
manque à gagner clairement identifiable.
Erreur administratif et encodage
erronés : le département de
comptabilité encode toutes perte diverses venant d'erreurs d'encodage,
de traitement et de manipulation involontaire dans un compte spécifique
de pertes et profits. Cela vaut pour toutes les écritures comptables non
accompagnées d'une pièce justificative. Le département de
comptabilité constitue un allié objectif et une aide
précieuse pour les gestionnaires des risques opérationnel.
Fraude interne ou externe : que se soit l'audit
interne, ou comité de supervision ; chaque banque possède un
service spécifiquement dédié à la traque de fraudes
interne- les irrégularités du personnels- et de fraudes externes-
tentatives de vols, d'effraction, de détournement de fonds.
Les pertes, dédommagements, les couts divers encourus
par la banque pour des raisons d'infraction à la législation sont
recensées à la comptabilité mais aussi au service
juridique.
On constate qu'il existe plusieurs lignes de reporting,
fonctionnel, hiérarchique, comptable et on veillera à
éviter les doubles comptages en attribuant à chaque incident un
code unique d'identification.
Il faut rappeler que les pertes a intégré
dans la base de donné des incident selon le comité de Bâle
sont les pertes réelles, affectant le compte de résultats, et non
les pertes potentielles ou manque à gagner et que la majorité des
banques utilise un seuil en dessous duquel elle ne collecte pas les pertes
opérationnelles car l'insignifiance des montant ne vaut pas la perte de
temps et d'argent pour la collecte de l'événement en question.
De telles bases, alimentées sur plusieurs années
consécutives, deviennent une source précieuse d'information pour
le management des risques opérationnels. Ces données permettent
de dégager une vision objective, chiffrée, des risques encourus,
à condition bien sûr d'avoir été constituées
d'une manière fiable et réaliste.
L'utilisation des seules données interne est
insuffisante pour modéliser l'ensemble de la distribution, les grands
événements, rare ou catastrophique, n'y sont pas forcément
représentés. Dés lors, l'inclusion de pertes externe
venant d'autre établissement s'avère indispensable. D'où
l'existence également des bases de données provenant de sources
externes est utile, toutefois ces données nécessitent un effort
d'interprétation et d'adaptation à la situation propre de
l'établissement et se pose la délicate question du choix des
pertes à intégrer.
Les deux ingrédients interne et externe sont des
données « objectives » utilisées
principalement pour le développement d'une méthodologie
statistique dont le but est de dériver une distribution de perte
agrégées annuelles.
L'analyse de scénarios et environnement
opérationnel de la banque sont deux éléments plus
« subjectifs ». Les scénarios offrent notamment la
possibilité de compléter le modèle statistique. Les divers
outils de contrôle de l'environnement opérationnel (indicateurs de
risque ou de performance..) doivent permettre à la banque de
développer une approche plus qualitative.
Donc par une combinaison de ces quatre éléments
on peut arriver à une vision complète et dynamique du profil de
risque opérationnel.
3. La définition de procédures de
contrôle:
La base de données d'incidents opérationnels
fournit une image, encore statique, des pertes opérationnelles à
charge d'une organisation. Correctement interprétée, cette image
fournit une liste de priorités de contrôle et d'investigation pour
le gestionnaire de risques et des départements concernés.
Les procédures de contrôle et de validation des
incidents notifiés dans la base de données pourront s'appuyer sur
un workflow, outil qui permettra aux managers : de contrôler la
pertinence des informations remontées par les collaborateurs ;
d'être avertis en temps réel des événements
intervenus dans leur service pour rapidement mettre en place des actions
correctives.
Une fois les risques identifiés sont
cartographiés, hiérarchisés, et codifiés dans des
procédures. L'étape suivante consiste de s'assurer que le
dispositif du contrôle interne est efficace de façon continue et
que le risque est correctement maîtrisé.
Le contrôle se fait par un système de
contrôle interne efficace, l'efficacité de ce dernier est
garanties par le respect de certains principes comme le principe de
séparation de tache c'est-à-dire une indépendance entre
l'activité opérationnel, d'enregistrement, de protection et
conservations des biens et la taches de contrôle intégré,
le principe d'instauration de contrôle réciproques des taches, des
moyens de protection et des moyens de preuves, le principe de bonne
sélection du personnel et de sa formation
L'organisation des contrôles repose sur des
contrôles à deux niveaux :
Les contrôles de 1er niveau regroupent tous les
contrôles permanents (à priori et à posteriori) mis en
oeuvre au niveau de chaque entité opérationnelle et permettant de
vérifier l'exhaustivité et la régularité des
opérations traitées. Ils comprennent, des contrôles
quotidiens qui assurent la sécurité et la qualité des
opérations traitées et qui reposent sur le respect permanent des
règles et procédures en vigueur (séparation des fonctions,
délégation de pouvoirs et signatures, etc.) et une supervision
formalisée par la hiérarchie pour vérifier la correcte
application des règles et procédures au quotidien.
Les contrôles à priori regroupent tous les
contrôles quotidiens mis en place afin qu'aucune erreur ne se produise.
Les contrôles à posteriori ont pour objectif de détecter
les anomalies que les contrôles à priori n'ont pas permis
d'éviter. Pour les processus opérationnels longs, le
contrôle de 1er niveau peut être assuré par plusieurs
services ou personnes.
Les contrôles de 2ème niveau sont confiés
à toute personne ou organe chargé de vérifier
périodiquement que les contrôles de 1er niveau sont correctement
réalisés : contrôle du fonctionnement de la
surveillance permanente, de vérifier l'application des
procédures, d'apprécier la qualité des traitements
effectués et de s'assurer de la prise en compte des exigences de
contrôle interne.
L'audit interne et/ou externe fait partie des contrôles
de 2ème niveau il doit aider l'organisation en identifiant et en
évaluant les risques significatifs et contribuer à
l'amélioration des systèmes de management des risques et de
contrôle.
Le renforcement du système d'information
représente un outils de contrôle et de maitrise du risque
opérationnel par le biais de la sécurité informatique qui
se matérialise par la limitation des accès aux champs non
exploitables par un département, par un changement des mots de passes
selon un calendrier fixer au paravent, l'instauration des mécanisme
autorisation et validation afin d'éviter les dépassements...
Et afin de maitriser les risques découlant du
système informatique, il ya lieu de procéder a un audit
informatique pour avoir un seuil d'assurance dans le système et le
contrôle interne.
Le contrôle de conformité de l'application des
procédures de contrôle décrite par l'organisation de
gestion du risque opérationnel permet de détecter les
défaillances de contrôle donc produire des plans d'action afin de
maitriser le risque.
On peut conclure que tous les organismes de contrôle de
la banque sont impliqués dans la maitrise du risque
opérationnel.
4. La Conception des outils de suivi du risque
opérationnel.
Après l'identification des pertes vient leur
surveillance à l'aide des outils suivants :
§ Les tableaux de bord :
Ils doivent être spécifiquement conçus
pour chaque type de département et selon la nature, le type d'incidents
à rapporter. Ils permettent de communiquer efficacement l'enjeu et les
causes des événements opérationnels au sein de
l'organisation.ils sont un moyen puissant pour impliquer le management des
différents départements dans la gestion quotidienne des risques
opérationnels.
Ils mettent en évidence l'évolution des pertes
au cours du temps pour un même département, formant ainsi une base
précieuse d'évaluation de mesure de gestion de risque prises par
les managers concernés. Ils permettent aussi de comparer entre elles les
performances de départements similaires. Mais les tableaux de bord seuls
ne fournissent pas une limite acceptable à ne pas dépasser. Pour
disposer de points de référence, il faut faire appel aux
indicateurs- clés de risque de performances.
§ Les indicateurs-clés de risques et de
performance :
Les indicateurs clés de performance ouvrent le champ
à l'aspect prospectif de la gestion des risques, outre leur aspect
prospectif d'identification, constituent pour les départements des
limites à ne pas dépasser. Ces limites seront propres à
chaque établissement, en fonction de son appétit pour le risque
et l'ampleur des contrôles et des critères de qualité qu'il
veut mettre en place.
De types statistiques et souvent financiers, ils fournissent
un aperçu de la position de la banque relativement au risque, ils sont
revus périodiquement.
Les indicateurs de risque sont en effet de deux types, des
indicateurs- clés de risque ( key risks indicators) spécifiques
à chaque activité et constituent des indices de perte ou des
dangers à venir et d'autre part on a les indicateurs-clés de
performances ( key performance indicators) qui constituent des mesures
d'évaluation de la qualité d'une activité.
Chaque activité disposera de son propre ensemble
d'indicateur, spécifique à la nature des taches
effectuées, au mode d'organisation des fonctions, au niveau
d'automatisation des opérations, au niveau des flux financiers
impliqués ou de la législation en vigueurs.
En effet il n'existe pas de liste standard d'indicateurs de
risque et de performances pour l'ensemble des institutions bancaires. On peut
citer les indicateurs de risque suivants :
Ressources humaines : rotation du personnel, pourcentage
d'employés intérimaires, plaintes de la
clientèle ...
Système : interruption du système,
tentative d'intrusion informatique...
Traitement et procédures : corrections
d'écritures, plaintes et contestations...
Donc il ya lieu de la conception d'une base de donné
pour la constitution des indicateurs de risque et de performance.
Une procédure de reporting bien défini permet
aussi un suivi du risque opérationnel.
Le modèle de risque n'est pas figé : sous
l'effet des plans d'actions correctives, des risques disparaîtront, des
cotations évolueront, de nouveaux risques apparaîtront. S'il n'est
pas mis à jour, le modèle de risque présentera à
terme une vision biaisée de la réalité, avec des
conséquences non négligeables sur le calcul d'exigence en fonds
propres. A ce titre, le projet des risques peut être qualifié
d'exercice permanent.
5. Mesure du risque
opérationnel :
Si tout les prés requis organisationnel ci-dessus
indiqués sont présentes, il ya lieu de quantifié le risque
résiduel.
Le régulateur propose trois approches pour
évaluer l'exposition à ce type de risque :
Approche de base : un pourcentage,
provisoirement fixé à 15 %, du PNB moyen des trois années
précédentes ;
Approche standard : identique à
l'approche de base, mais pourcentages différenciés par ligne
métier (entre 12 et 18% du PNB de chaque ligne de métier) ;
Approche avancée (AMA) :
l'établissement détermine son exposition sur la base de
modèles internes.
Le dispositif incite à opter pour la méthode
avancée, celle-ci étant en principe moins consommatrice en fonds
propres réglementaires. En retour, l'économie se « paye
» par la mise en place d'une organisation spécifique visant
à un meilleur contrôle des risques opérationnels, et en
définitive, à la réduction des pertes. Ainsi,
contrairement à l'approche de base, l'approche standard impose que
soient identifiés et évalués les risques
opérationnels. L'approche avancée requiert quant à elle la
nomination d'une entité indépendante responsable de la mise en
place d'une stratégie de réduction des risques
opérationnels.
Dans notre démarche pour mettre en place un dispositif
de gestion du risque opérationnel, on a visé l'approche de mesure
standard et complexe.
Au sein des banques, le calcul de la charge en capital
revêt une importance toute particulière qui dépasse la
simple dimension réglementaire. Elle répond en effet à
plusieurs objectifs : Perception plus fine du risque au sein de la banque ;
Optimisation du couple rentabilité/risque ; Amélioration des
procédures organisationnelles.
6. Disposer d'autres instruments d'atténuation
du risque opérationnel :
Il n'est pas possible de maîtriser tous les risques
(par exemple, les catastrophes naturelles). On peut en revanche utiliser des
instruments ou programmes d'atténuation des risques pour réduire
l'exposition à ces risques, leur fréquence et/ou leur
gravité.
L'externalisation de certains activités peut
réduire le profil de risque d'un établissement en
transférant certaines activités spécialisées
à des entreprises qui ont plus d'expertise et d'envergure pour
gérer les risques qui y sont associés.
Les polices d'assurance, notamment, surtout si elles
garantissent un paiement rapide et certain, peuvent être utilisées
pour externaliser le risque de pertes peu fréquentes mais aux
conséquences graves, qui peuvent résulter de divers
événements comme l'indemnisation de tiers au titre d'erreurs et
omissions, la perte physique de titres, la fraude d'un employé ou d'un
tiers.
Les investissements dans les techniques appropriées de
traitement des données et de sécurité informatique jouent
aussi un rôle important pour l'atténuation du risque.
7. Mise en place des plans de secours et de
continuité d'exploitation
Pour des raisons qui peuvent échapper au contrôle
de la banque, un incident grave peut l'empêcher d'exécuter
entièrement ou partiellement ses obligations, en particulier quand ses
infrastructures physiques, de télécommunications ou
d'informatique ont été endommagées ou rendues
inaccessibles. Cette situation peut à son tour provoquer de lourdes
pertes financières pour la banque, ainsi que des perturbations
générales du système financier par l'intermédiaire
de canaux comme le système de paiements. Cette éventualité
nécessite que les banques mettent en place des programmes de reprise et
de continuité d'exploitation, en rapport avec sa taille et avec la
complexité de ses activités, prenant en compte divers types de
scénarios plausibles auxquels la banque peut être
exposée.
Les banques devraient identifier les processus cruciaux,
notamment ceux qui dépendent de fournisseurs extérieurs ou
d'autres tiers, dont la reprise rapide est prioritaire. Pour ces processus, les
banques devraient identifier des solutions de secours permettant de
rétablir le service en cas de panne. Il convient de prêter une
attention particulière à la capacité de restaurer les
archives électroniques ou physiques nécessaires à la
reprise de l'activité. Quand les archives sont dupliquées sur un
autre site, ou quand les activités de la banque devraient reprendre dans
d'autres locaux, il faudrait veiller à ce que ces facilités de
secours soient suffisamment éloignées du site principal pour
réduire le risque d'une mise hors service simultanée. Les banques
devraient revoir périodiquement leurs programmes de reprise et de
continuité d'exploitation pour s'assurer qu'ils restent adaptés
au niveau de leurs activités et stratégies.
8. Politique de communication et de documentation :
La politique de communication et de formation sont des
éléments importants afin de s'assurer que chaque employé
au sein de l'organisation a connaissance des développements en
matière de processus de gestion des risques opérationnels et
comprend la manière dont ce processus s'intègre dans la gestion
quotidienne de l'organisation.
Il est important de rappeler que l'unité de gestion du
risque opérationnel n'est pas la seul responsable et que l' implication
de tous les niveaux de management au sein de l'organisation est
nécessaire afin qu'une démarche de gestion du risque
opérationnels porte tous ses effets, en effet la mise en place d'un tel
projet occasionne un impact important sur la culture de l'organisation.il est
dés lors primordial que l'ensemble des niveaux de management( du conseil
d'administration au responsable de ligne de service) participe activement
à la mise en oeuvre en étant des moteurs dans le changement
culturel.
Chaque étape du processus de gestion des risques
opérationnels doit être documentée. La documentation doit
couvrir au minimum : les hypothèses, les méthodes, sources
de données et les résultats du processus de gestion des risques
opérationnels.
Une documentation suffisante :
ü Démontre que le processus de gestion des risques
opérationnels est mené correctement.
ü Elle matérialise l'existence et la mise en
oeuvre d'une approche systématique d'identification et d'analyse des
risques.
ü Elle formalise le processus de communication et de
validation des plans d'actions.
ü Elle matérialise les responsabilités pour
les risques identifiés
ü Elle facilite le processus permanent de suivi et de
surveillance
ü Elle fournit une trace d'audit
ü Elle permet de partager et communiquer les informations
au travers de l'organisation.
9. Mise en place d'un processus d'amélioration
continue :
La gestion des risques est un
véritable processus global et intégré. Ce processus et la
méthodologie sous-jacente doivent être revus,
évalués et mis à jour régulièrement afin de
s'assurer que les concepts et processus clefs sont toujours pertinents.
Ce processus d'amélioration continue s'effectue au
travers de :
ü La surveillance et la revue du processus
d'implémentation et des changements culturels.
ü La responsabilisation du personnel
ü L'intégration avec d'autres systèmes ou
unités opérationnels tels que la planification
stratégique, l'audit interne et l'évaluation de performance.
Cet aspect d'amélioration des méthodologies de
gestion des risques représente une composante importante du processus de
mesure et de gestion des risques opérationnels.
Cependant, le dispositif de gestion du risque
opérationnel est un projet qui n'est pas facile à mettre en
place en plus se n'est pas un projet de type « Big Bang »,
c'est un projet qui demande une démarche bien étudier et
progressive afin d'aboutir a la réalisation des objectifs
prédéfinis, jusqu'à maintenant on ne peut pas
présenté un modèle type de dispositif de gestion du risque
opérationnel mais chaque établissement de crédit est en
mesure de prendre en considération les facteurs clés
développer ci-dessus pour modéliser un dispositif adéquat
au niveau de maturité de son l'établissement.
| 