Memoire Online - Gestion du risque opérationnel par le contrôle interne au sein du secteur bancaire: cas de la société générale de Mauritanie

Au cours de ces dernières années l'environnement économique et financier a connu de perpétuels changements stratégiques. En grande partie marqué par la mondialisation et les crises économiques, le système bancaire Mauritanien doit faire face à de nombreux changements. C'est pourquoi il est question d'évoquer la notion du risque qui impacte la survie de l'entreprise.

Les évolutions technologiques et économiques ont influé sur la pratique de l'audit interne qui doit évaluer l'efficacité des dispositifs du management du risque. La priorité des entreprises aujourd'hui est, d'améliorer le contrôle interne sous une surveillance permanente, pour maîtriser les risques liés à l'activité. Si un problème échappe au contrôle, l'entreprise devient l'ennemi de ses clients, des citoyens ; elle risque donc une faillite. Malgré la mise en place de ces stratégies, plus de la moitié des banques ont disparu ces vingt dernières années dans le monde. Ces faits montrent clairement l'importance des risques que subissent les établissements de crédit au quotidien

De nos jours, une nouvelle variable s'est introduite dans la prise de décision : il s'agit du risque qui, désormais, reste la préoccupation majeure des dirigeants. Vu mon orientation professionnelle, notre choix porte sur l'étude d'un thème d'audit traitant la gestion du risque opérationnel par le contrôle interne au sein du secteur bancaire. Car tout simplement le contrôle interne est l'outil le mieux indiqué puisqu'elle représente un moyen d'évaluation et de maîtrise des risques.

Le risque bancaire est l'un des causes majeures de la volatilité des résultats de l'établissement de crédit qui sont exposés à des multitudes de dysfonctionnements qui peuvent entraîner leur défaillance et leur position sur le marché. Ainsi le référentiel comptable international dit COSO définit un risque comme un événement pouvant affecter la bonne marche des entreprises.

Au sein du milieu bancaire cette notion de risque est omniprésente et à toujours exister. En cela il y' a une multitude de dangers pouvant nuire à l'activité d'une banque et certains analystes distinguent huit classes de risque comme suit :

« Le risque commercial, le risque informatique, le risque opératoire, le risque juridique et fiscal, le risque politique, le risque de concurrence, le risque d'environnement et le risque des ressources ».

Ces derniers peuvent se regrouper en deux grands types de risques tels que les risques financiers et ceux non financiers dit « Risques opérationnels ». Le premier regroupe trois aspects tels que les risques de liquidité, de marché (taux de change, perte de valeur sur les instruments financiers), et de crédit (incapacité des clients ou autres acteurs de la banque à respecter leurs engagements sur les sommes empruntées).

Le second lui, inclut les risques de pertes ou de sanctions du fait de fraudes, de défaillances de procédures, de faiblesse dans le système d'information, d'évènement externe à l'entreprise ou encore à de mauvaises exécutions d'opérations.

Les risques étant multiples et variés, nous limiterons notre analyse au risque opérationnel. Celui-ci est à l'origine de lourdes pertes estimées à des centaines de milliards de dollars sur les 10 dernières années. A cet effet, et pour faire face aux exigences règlementaires, les autorités prudentielles imposent à tous les établissements bancaires depuis 1997 (CRBF)^1(*), de mettre en place un service de contrôle interne.

Malgré ces mesures, le contrôle interne est très souvent contredit du fait de ces quelques défaillances. Pour un grand nombre de cas, ces derniers sont relatifs aux risques opérationnels remettant ainsi en cause l'efficacité de ce dispositif et nous amènes à nous poser la question suivante :

Comment le contrôle interne permet-il de gérer efficacement le risque opérationnel au sein du secteur bancaire ?

Notre question de recherche, comme nous l'avons présenté est d'un intérêt certain puisque celle-ci s'inscrit en plein coeur de notre formation (master audit et contrôle de gestion) qui conduit aux métiers d'auditeurs et de contrôleurs de gestion. Le stage de fin d'étude s'effectuant à la Direction du Secrétariat Général et plus précisément au sein du service de la surveillance permanente est pour moi un véritable atout pour répondre à cette problématique.

Pour répondre à cette interrogation, nous consacrerons dans une première partie une présentation détaillant théoriquement le concept du contrôle interne et la notion du risque opérationnel. La seconde partie exposera la réponse de la problématique, les déficiences que rencontre le contrôle interne pour une meilleure gestion du risque opérationnel en passant par les limites qu'il rencontre. La troisième partie de ce mémoire concernera le cadre pratique au sein de la Société Générale Mauritanie.

Chapitre I : Concepts de contrôle interne et du risque opérationnel

Introduction :

L'essor du contrôle interne dans les entreprises en général et dans la Banque en particulier est récent. De même que le concept de risque opérationnel qui vient d'être consacré par la réglementation bancaire internationale, qui induit ipso facto une nouvelle cartographie quasi standard des risques bancaires. Cette circonstance a obligé les régulateurs à redéfinir les outils de surveillances de risques et attribuer les responsabilités tant des membres du gouvernement d'entreprise que du personnel tout entier. C'est le début de la normalisation du système de contrôle interne consacrée dans le 14è principe de contrôle bancaire efficace de Bâle II^2(*) en ces termes : « Les autorités de contrôle bancaire doivent s'assurer que les banques sont dotées de contrôles internes adaptés à la nature et à l'ampleur de leurs activités et recouvrant plusieurs aspects : dispositions claires de délégation de pouvoirs et de responsabilités, séparation des fonctions impliquant un engagement de la banque, une libération de ses capitaux et la comptabilisation de ses actifs et passifs ; vérification de concordance de ces processus préservation des actifs ; audit indépendant approprié, interne ou externe ; fonctions de contrôle de conformité à ces dispositions ainsi qu'aux lois et réglementations applicables.

Section 1 : Notion de contrôle interne : Historique, définitions, principes fondamentaux et enjeux

La compréhension et l'évaluation du dispositif de contrôle de la SGM est tributaire de l'acception fondamentale du contrôle interne et la réglementation relative.

A. Historique, définition, et principes fondamentaux

1. Historique et définitions

L'émergence du contrôle interne quoique timide date de la fin de la première moitié du 20 siècle. Elle est essentiellement expliquée par la montée de la fraude, la mauvaise performance et le manque de sincérité des comptes annuels des entreprises. Par ailleurs, la montée des risques, la complexité des systèmes d'informations et les dérives observées dans le management des organisations ont favorisé la prise de conscience de la nécessité de disposer d'un système de surveillance. Les scandales financiers de la décennie passée (Enron^3(*), Vivendi^4(*) en 2001...), l'affaire de la Société Générale et surtout le cas Bernard Madoff^5(*) en 2008 qui ont défrayé la chronique en sont des parfaites illustrations. En réaction face à ces scandales, plusieurs lois notamment la sarbanes-Oxley^6(*) act aux USA ou encore la loi de la sécurité financière en France vont être adoptées.

« Le contrôle interne est un processus intégré mis en oeuvre par le conseil d'administration, les dirigeants et le personnel d'une organisation, destinés à traiter les risques et à fournir une assurance raisonnable quant à la réalisation des objectifs suivants :

La définition citée ci-dessus pose les bases de la fonction du contrôle interne au sein d'une entité financière. On y retrouve ainsi les grands rôles que joue le contrôle interne dans la gestion du risque opérationnel. Deux aspects essentiels sont à souligner dans cette définition. Tout d'abord le contrôle interne intervient en tant que processus mobilisant tous les acteurs de la banque : « Le contrôle interne n'est pas un ensemble statique» (Jacques Renard, 2013). Celui-ci se limite à un ensemble de procédures et à une accumulation de vérifications ou d'actions de contrôle.

Ce processus permanent fait donc partie intégrante de l'ensemble des activités bancaires. Celui-ci ne remet pas en cause le dispositif existant mais s'attache à l'améliorer en mieux structurant l'organisation et en déterminant ses composantes à partir des risques et des enjeux. Ainsi pour être efficace le contrôle interne doit faire l'objet d'une implication de toutes les équipes de directions afin d'impulser la dynamique, promouvoir, accompagner et coordonner ses actions au sein de l'établissement.

Cependant il est important de souligner que le processus de contrôle interne doit être accepté par l'ensemble des collaborateurs pour ensuite être mis en oeuvre plus facilement.

De ce fait, ce processus nécessite l'implication de l'ensemble des acteurs de l'établissement bancaire.

En effet, comme le montre le schéma de J. Renard dans la page suivante, le contrôle interne agit à trois niveaux de l'organisation:

Le niveau opérationnel animé par la réalisation des objectifs de l'organisation:

Il concerne les contrôles effectués par les unités opérationnelles et destinés à garantir en permanence la bonne gestion et la bonne maîtrise des risques. Concrètement, il peut s'agir d'un autocontrôle par le collaborateur lui-même ou bien d'un contrôle du respect des procédures par le niveau hiérarchique supérieur. (Exemple : manager de l'unité).

Des contrôles sont réalisés par des équipes encadrant le contrôle permanent et destinés à garantir une bonne gestion et maîtrise de l'ensemble des risques des entités opérationnelles. Autrement dit il permet de s'assurer que les contrôles de niveau1 soient conforme.

Il entoure le dispositif de contrôle assuré par un audit interne ou externe (Commissaire aux Comptes). Les contrôles qui lui sont destinés ont pour but d'évaluer périodiquement l'adéquation et le bon fonctionnement des contrôles permanents (premier et deuxième niveau). A ce titre on parle aussi de contrôle périodique, puisque l'audit n'intervient pas de manière continue à la différence du contrôle permanent.

2. Les principes fondamentaux

Les Principes fondamentaux pour un contrôle bancaire efficace constituent la norme minimale de facto en matière de réglementation et de contrôle prudentiels des banques et des systèmes bancaires. Initialement publiés en 1997 par le Comité de Bâle sur le contrôle bancaire^7(*) (« le Comité »), ils servent de référence aux pays pour évaluer la qualité de leur système de contrôle et définir les travaux à mener en vue d'atteindre un niveau de base en matière de saines pratiques de contrôles. La dernière révision des Principes fondamentaux réalisée par le Comité, en coopération avec des autorités de contrôle du monde entier, date d'octobre 2006.

La présente révision des Principes fondamentaux définit les 29 principes considérés comme nécessaires à l'efficacité d'un système de contrôle.

Ces principes sont regroupés en deux grandes catégories : la première (Principes 1 à 13) porte sur les pouvoirs, les responsabilités et les fonctions des autorités de contrôles, tandis que la seconde (Principes 14 à 29) se concentre sur la réglementation prudentielle et les obligations faites aux banques. Cependant vu le nombre de ces principes, nous allons en citer quelques-uns à titre d'exemple.

Principe 1 - Responsabilités, objectifs et pouvoirs : Un système de contrôle bancaire efficace assigne des responsabilités et objectifs clairs à chaque autorité participant à la surveillance des établissements et groupes bancaires. Un cadre juridique approprié confère à chaque autorité responsable le pouvoir légal d'agréer les établissements bancaires, d'assurer leur contrôle permanent, de vérifier leur conformité avec la législation et de prendre en temps opportun des mesures correctrices pour remédier aux problèmes de sécurité et de solidité.

Principe 17 - Risque de crédit : L'autorité de contrôle établit que les banques ont mis en place un dispositif adéquat de gestion du risque de crédit, qui tient compte du degré d'acceptation du risque et du profil de risque de l'établissement ainsi que des conditions de marché et macroéconomiques.

Principe 21 - Risque-pays et risque de transfert : L'autorité de contrôle établit que les banques disposent de politiques et procédures appropriées, qui permettent, en temps opportun, de détecter, de mesurer, d'évaluer, de suivre et de maîtriser, ou d'atténuer, le risque-pays et le risque de transfert liés à leurs activités de prêt et d'investissement, et d'en rendre compte.

Principe 22 - Risques de marché : L'autorité de contrôle établit que les banques ont mis en place un dispositif adéquat de gestion des risques de marché, qui tient compte du degré d'acceptation du risque et du profil de risque de l'établissement, des conditions de marché et macroéconomiques, et du risque d'une dégradation significative de la liquidité du marché.

Principe 23 - Risque de taux d'intérêt dans le portefeuille bancaire : L'autorité de contrôle établit que les banques disposent de systèmes appropriés permettant, en temps opportun, de détecter, de mesurer, d'évaluer, de suivre et de maîtriser, ou d'atténuer, le risque de taux d'intérêt de leur portefeuille bancaire, et d'en rendre compte.

Principe 25 - Risque opérationnel : L'autorité de contrôle établit que les banques disposent d'un cadre de gestion du risque opérationnel qui tient compte du degré d'acceptation du risque et du profil de risque de l'établissement ainsi que des conditions de marché et macroéconomiques.

Principe 26 - Contrôles internes et audit : L'autorité de contrôle établit que les banques disposent d'un cadre de contrôle interne adéquat, permettant d'instaurer et de maintenir un environnement opérationnel correctement maîtrisé pour l'exercice de leurs activités, compte tenu de leur profil de risque. Ce cadre comprend des dispositions claires en matière de délégation des pouvoirs et des responsabilités ; une séparation des fonctions d'engagement de la banque, de versement des fonds etc.

Principe 28 - Information financière et transparence : L'autorité de contrôle établit que les établissements et groupes bancaires publient régulièrement des informations sur une base consolidée et, le cas échéant, sur une base individuelle, qui soient facilement accessibles et qui reflètent fidèlement leur situation financière.

B. Les enjeux du contrôle interne

Les objectifs du contrôle interne s'imprègnent de la vision de l'AMF^8(*). Ainsi la contribution du contrôle interne peut s'entendre comme la maîtrise des activités, l'efficacité des opérations et l'utilisation efficiente des ressources.

ü La conformité aux lois, aux règlements et aux instructions fixées par les équipes dirigeantes,

ü Le bon fonctionnement des processus internes de la société, notamment ceux concourant à la sauvegarde de ses actifs.

Nous détaillerons ainsi ces trois points afin de constater l'importance que porte le contrôle interne dans la gestion du risque opérationnel.

1. Le contrôle interne comme outil de fiabilité de l'information

La fiabilité des informations, quel que soit leur nature, est l'un des objectifs principaux du contrôle interne. En effet, en 2008 Jean Tirole prix Nobel d'économie 2014, conçoit dans une conférence que l'entreprise est une énorme base de données, qui reçoit et stocke de l'information, et qui en génère également.

Pour obtenir une bonne gestion de son activité, une banque doit s'assurer de la qualité des informations qu'elle reçoit, afin de l'utiliser dans ses décisions à la fois stratégiques et de production.

Cela dit, la complexité de l'information ne rend pas ce travail facile pour une banque.

D'une part, les informations primaires qui regroupent les informations courantes générées par l'entreprise à chacune de ses transactions. Plus précisément il s'agit des informations qui rentrent dans les indicateurs de gestion et entourent également les besoins légaux (impôts...). On parle d'informations intra- organisationnelles.

D'autre part, les informations extérieures que l'entreprise se procure pour éclairer ses décisions de gestion. Elles concernent de manière générale tout ce qui peut avoir trait à l'étude de marché dans sa globalité, et notamment les taux de croissance d'un secteur d'activité, les parts de marché, l'inflation, le niveau de concurrence.

Enfin, les informations liées au fonctionnement interne de l'entreprise qui recouvre les échanges d'informations entre différents services, et sites géographiques. En ce sens on parle d'informations inter-organisationnelles.

Ace stade de réflexion, l'objectif est d'obtenir l'assurance que l'information transmise permette de tirer des conclusions favorables. Sans information fiable, on navigue à l'aveugle, le risque est ici interne et bien opérationnel.

Il est donc important de juger de la fiabilité de ces informations. A cet effet, Jacques Renard (2013) énonce le fait qu'une information est crédible si elle répond aux trois critères:

Il est nécessaire d'avoir à disposition au sein de l'entreprise toutes les informations et chaque information doit être complète. Le contrôle interne doit donc garantir la qualité des enregistrements des informations et faire en sorte que tous les éléments soient pris en compte.

Le contrôle interne doit permettre de définir quelles sont les informations importantes et nécessaires, que l'on classe selon un degré de précision. Il n'est pas question de garder toutes les informations mais seulement celles qui sont nécessaires pour atteindre les objectifs. Il doit donc être capable d'éliminer les informations jugées «superflues», qui ne feraient qu'alourdir les bases de données et qui n'améliore en rien la connaissance nécessaire à une bonne gestion du risque opérationnel.

Il est impératif que l'information soit accessible, au bon endroit et au bon moment. Cela rentre en compte dans l'objectif de transparence des organisations. Ceci est facilité par le développement du système d'informations.

Cependant pour pouvoir juger d'une information comme étant correcte (une fois un niveau de fiabilité défini), il faut pouvoir rapporter un élément de preuve.

A ce titre les procédures de contrôle interne jouent un rôle majeur dans la fiabilité de ces informations et notamment dans la prévention du risque de nature opérationnel

Ce dispositif doit être capable de saisir et enregistrer toutes les transactions que l'organisation réalise tant au niveau interne qu'au niveau externe. Autrement dit, on ne se limite plus aux informations purement financières et comptables, on s'intéresse d'avantage aux effets environnementaux.

De plus le contrôle interne, à travers la formalisation qu'il met en place, permet ainsi de reconstituer un ordre logique et chronologique des informations présentes au sein de l'organisation, pour permettre ainsi de justifier chacune d'entre elles en remontant jusqu' à la pièce originale. Ainsi, un contrôleur qui souhaitera évaluer l'efficacité des dispositifs du contrôle interne suivra cette piste, pour s'assurer ainsi de l'intégrité et du bon fonctionnement du dispositif.

2. Le contrôle interne comme outil de respect des lois, règlements et contrats

L'entreprise est au quotidien confrontée à un certain nombre de contraintes issues de son environnement direct. Ces contraintes sont à la fois nombreuses et variées (comptables, fiscales, qualité...). L'entreprise est tenue de les respecter si elle ne veut pas être sujette à des pénalités.

Dans ce contexte, le contrôle interne doit permettre de faire respecter les règles du jeu en instaurant des vérifications régulières afin de dissuader « les mauvaises intentions». En effet, le contrôle interne ne doit en aucun cas permettre de passer outre la législation en vigueur. Par exemple dans la gestion du risque opérationnel, l'organe de contrôle d'une banque doit s'assurer que les ratios imposés par le comité de Bâle soient bien respectées. Le contrôle interne doit aussi permettre de suivre des règles qu'elle a elle-même mis en place, comme des chartes d'éthiques.

Il faut donc s'assurer que les agents de tous niveaux soient informés des règles qui leur sont applicables et des éventuelles modifications qui pourraient intervenir.

Cette nouvelle dimension, dont est issue la Responsabilité sociétale des entreprises (RSE), doit être prise en compte par les banque car l'image et les valeurs morales qu'elle diffuse peuvent être porteuse d'une véritable valeur ajoutée. En effet la mise en place d'un dispositif de contrôle interne efficace permet de rassurer les investisseurs grâce aux valeurs déontologiques qu'il suscite. Un exemple simple serait de citer la chute du cours boursier de la Société générale après la révélation au grand public de la fraude d'un de leurs traders.

3. Le contrôle interne comme outil de fonctionnement des processus internes

Le processus de contrôle interne a pour but d'optimiser les opérations en permettant d'identifier des insuffisances dans l'organisation et dans l'exécution des différentes activités de l'entreprise.

Ainsi, l'analyse du processus met en évidence des tâches non effectuées, des activités effectuées par des personnes ne disposant pas de la compétence ou des informations nécessaires à l'accomplissement correct de ces tâches, ces constatations peuvent ainsi conduire à réorganiser certaines fonctions, et à automatiser certains contrôles.

En effet, les dispositifs de contrôle interne doivent permettre d'assurer dans une logique de conformité que chaque processus concoure à l'atteinte d'un objectif stratégique décrit par le plan d'audit^9(*).

Ces dispositifs de contrôles visent notamment à s'assurer que les processus liés à la production des états financiers sont mis sous contrôle et que les dysfonctionnements associés à ces derniers ne peuvent altérer la sincérité des comptes.

Section 2 : Risque opérationnel dans le secteur bancaire

Le risque opérationnel occupe actuellement un intérêt croissant au niveau des établissements de crédits, ceci peut être attribué à des incidents récents ayant entraîné des pertes importantes et une prise de conscience des directions générales.

A. Le management du risque

1. La notion du risque bancaire

Les risques bancaires sont multiples et multidimensionnels. Il faut les classifier et les définir le mieux possible en vue de les mesurer et de les maîtriser.

ü Le risque de crédit, considéré comme commercial, est celui qui provoque des pertes en cas de défaut des contreparties.

ü Le risque opérationnel, désigne le risque de dysfonctionnement, de défaillances attribuables à des procédures, à des personnels, à des systèmes internes ou à des événements extérieurs.

Pour plus de compréhension, nous détaillons ces trois types de risque dans une partie dédiée.

2. Typologie des risques bancaires

C'est le risque de perte sur une créance ou plus généralement celui d'un tiers qui ne paie pas sa dette à temps. Dans un sens plus large ce risque de contrepartie désigne aussi le risque de dégradation de la santé financière de l'emprunteur qui réduit les probabilités de remboursement. Cette dégradation accroît la probabilité de défaut (défaillance, le fait qu'il n'arrive pas à rembourser) même si le défaut proprement dit ne survient pas nécessairement. Il est naturellement fonction de trois paramètres : le montant de la créance, la probabilité de défaut, et la proportion de la créance qui sera recouvrée en cas de défaut.

Le risque de marché représente le risque de variation du prix d'une grandeur économique constatée sur un marché, se traduisant par une perte ou comme le risque financier dû à l'incertitude quant à la valeur future d'un portefeuille d'avoirs ou de dettes. On distingue généralement trois catégories de risques de marché : le risque de taux d'intérêt, le risque de change, le risque de solvabilité.

Il est défini comme l'éventualité pour un établissement de crédit de voir sa rentabilité affectée par l'évolution des taux d'intérêts. Il conduit à la vulnérabilité de la situation financière d'une banque. Dans le cas de l'appréhension de ce risque, il s'agit, généralement à travers des représentations graphiques, de mettre en exergue un risque de financement ou d'investissement afin de réaliser des prévisions annuelles.

C'est le risque lié à la possession par la banque d'actifs ou de contrats en monnaie étrangère et résulte des variations des cours des devises.

C'est le risque pour un créancier de perdre définitivement sa créance dans la mesure où le débiteur ne peut pas, même en liquidant l'ensemble de ses avoirs, rembourser la totalité de ses engagements. Les traders parlent de risque de contrepartie.

Plusieurs auteurs et institutions réglementaires sont venus apporter leurs propres conceptions du risque opérationnel:

Le comité de Bâle définit en 1974 le risque opérationnel comme le « risque de pertes directes et indirectes résultant de l'inadéquation ou de la défaillance de procédures, de personnes et de systèmes ou résultant d'événements extérieurs».

Jugé comme incomplète, Vanini, en 2002 définit « le risque opérationnel comme le risque de déviation associé à la production d'un service et les attentes de la planification managériale ». A cette même date Kuritzkes confirme que « le risque opérationnel agit comme un risque non financier ayant 3 ressources : le risque interne, le risque externe et le risque stratégique ». Par l'explication de ces 3 risques, ce dernier pointe du doigt les risques de pertes relatives à un dysfonctionnement des systèmes d'informations, du contrôle interne ou d'une erreur humaine.

En 2004, le comité de Bâle tient compte de toutes ces critiques, suscitant de vifs débats et modifie le périmètre du risque opérationnel au travers d'une définition précise et applicable à l'ensemble de l'environnement bancaire

« Le risque opérationnel se définit comme le risque de perte résultant de carences ou de défaillances attribuables à des procédures, personnes et systèmes internes ou à des événements extérieures. La définition inclut le risque juridique, mais exclut le risque stratégique et d'atteinte à la réputation» (Comité de Bâle ,2004).

B. Composantes et différentes formes du risque opérationnel

Le risque opérationnel englobe deux parties, d'une part on a les composantes du risque opérationnel regroupant (le risque de défaillance et le risque de stratégie) ; nous avons d'autre part la diversité des formes que peut prendre le risque opérationnel.

1. Composantes du risque opérationnel

Le risque opérationnel peut être divisé en deux types : le risque de défaillance opérationnel et le risque opérationnel stratégique.

C'est le risque de perte directe ou indirecte provenant de défaillances potentielles de personnes employées, de processus engagés et de technologies utilisées. Ceux-ci peuvent résulter par exemple d'une destruction de données, d'erreurs de traitements, de fraudes humaines, d'une défaillance informatique, etc. De ce fait, ce risque est interne aux banques, et peut résulter d'un :

ü Risque de transaction causé par des erreurs pouvant survenir dans les opérations telles que : transferts, virements, encaissements, paiements et déblocage des fonds.

ü Risque de contrôle opérationnel provenant d'un manque de contrôle dans les activités de Front office, Middle-Office et Back-office

ü Risque de système dû à des erreurs ou des défauts pouvant survenir dans le maintien du système informatique et de l'organisation.

Les défaillances opérationnelles ne se produisent pas souvent mais leur impact et leur fréquence sont incertains. C'est pourquoi leur anticipation est fondamentale pour l'atténuation de leurs conséquences.

Ce risque est lié à des évènements extérieurs non maîtrisables comme : des perturbations politiques, la concurrence d'un nouveau venu sur le marché capable de changer les règles du jeu, des catastrophes naturelles ou d'autres facteurs non contrôlables par l'établissement bancaire. Le risque opérationnel stratégique appelé aussi « risque de dépendance extérieure » est un risque non négligeable pour les banques. Toutefois, et en tenant compte de notre réflexion, on va s'intéresser seulement au risque de défaillance opérationnelle, lequel est interne et peut être quantifié, voire maîtrisé par les banques.

2. Les différentes formes du risque opérationnel

Les risques opérationnels proviennent de l'ensemble des métiers bancaires, qu'il s'agisse des activités d'intermédiation, des activités de marché ou encore des prestations de service pour le compte de tiers. Ceci comprend notamment les risques suivants :

Le règlement CRBF 97-02^10(*) définit ce risque comme le risque de tout litige avec une contrepartie résultant de toute imprécision, lacune ou insuffisance de nature quelconque susceptible d'être imputable à l'établissement au titre de ses opérations. Ce risque peut se manifester dans de nombreux domaines et manières diverses ;

§ Mauvaise rédaction ou insuffisance de documentation de contrat qui rend leur exécution impossible ou difficile ;

§ Des garanties qui ne peuvent être mises en oeuvre du fait de l'incertitude juridique ;

La réglementation bancaire est extrêmement complexe et impose des contraintes sévères aux établissements de crédit. Leur non-respect peut se traduire par des amendes ou sanctions imposées par les autorités juridiques ou de contrôle. Des infractions commises parfois en toute bonne foi peuvent s'avérer couteuse.

Le système bancaire peut servir consciemment ou inconsciemment à blanchir les énormes profits tirés des activités criminelles, notamment ceux de la drogue. La confiance du public dans les banques peut être ébranlée par une publicité défavorable résultant d'une association involontaire des banques avec des criminels. De plus, les banques peuvent s'exposer elles-mêmes à des pertes directes dues à la fraude, en acceptant des clients indésirables et par la compromission des certains employés avec des criminels.

La banque peut être comparée à un immense coffre-fort contenant non seulement des espèces, mais également des valeurs sous forme de papiers (effets, chèques, titres...) ou magnétique (système de paiement tels que carte de paiement). Cette situation a, de tout temps, attisé les convoitises. Ainsi, aux risques traditionnels liés aux agressions externes est venu s'ajouter le risque de fraude sur les moyens de paiement, dont le cout est encore plus considérable.

Les particularités de la fonction comptable dans un établissement de crédit sont très fortes :

Flux comptables et nombre de comptes considérables, décentralisation des enregistrements dans les nombreuses applications informatiques, complexité pour traduire dans les comptes annuels une image fidèle.

Deux risques sont inhérents : Perte de la piste d'audit qui se manifeste par l'absence ou l'insuffisance de la justification des comptes et la traduction d'une image fidèle dans les comptes annuels du fait de mauvaises normes comptables ou de la fourniture d'informations non pertinentes.

Les systèmes d'information bancaire deviennent de plus en plus complexes pour répondre à des besoins, internes ou externes, de plus en plus contraignants.

Information sur les risques, information sur la rentabilité, comptes annuels, déclarations fiscales. Ces informations doivent être fiables et rapidement disponibles. L'opacité des résultats et des risques, due aux faiblesses des systèmes d'information, peut avoir de graves conséquences.

L'informatique est un véritable outil de production dans une banque. Son efficacité est un facteur dans la bataille de la rentabilité et de l'adaptation à un environnement de plus en plus difficile et concurrentiel. Les erreurs de conceptions ou de réalisations, les retards dans la mise en oeuvre des technologies nouvelles, l'insuffisance de maitrise de systèmes de plus en plus complexes, constituent des risques importants avec des conséquences directes sur la rentabilité et la qualité des services. L'absence ou la faiblesse des procédures de sauvegarde ou de back-up peut entrainer des pertes significatives.

3. Conséquences et exemples du risque opérationnel

Bien qu'il ne soit pas toujours apparent ou directement identifiable, le risque opérationnel est responsable de nombreuses défaillances dans les établissements de crédit. Dans ce qui suit, on énoncera quelques exemples de catastrophes financières.

La notion de risque opérationnel apparaît de prime abord comme peu novatrice, dans la mesure où les banques n'ont pas attendu le comité de Bâle pour organiser leurs activités sous forme de procédures, et pour se doter de départements d'audit interne chargés de vérifier la bonne application de ces procédures. Toutefois, des défaillances spectaculaires, comme celle de la Barings, ont attiré l'attention des autorités de tutelle sur la nécessité de doter les banques de mécanisme de prévention et de couverture via la constitution de fonds propres dédiés contre les risques opérationnels. La mise en pratique prônée par le nombre croissant de réflexions consacrées à ce sujet consiste à considérer comme réalisation d'un risque opérationnel :

· Et qui génère des pertes financières ou une dégradation de l'image de la banque bien que cette dernière conséquence ait été explicitement exclue de la définition du comité de Bâle, elle n'en reste pas moins au centre des préoccupations.

Une gestion proactive du risque opérationnel, outre qu'elle permette de se conformer aux exigences du comité de Bâle, aboutit nécessairement à une amélioration des conditions de production : rationalisation des processus d'où gain de productivité, amélioration de la qualité d'où meilleure image de marque. En particulier une telle démarche permet de mettre en place des outils quantitatifs permettant de fixer aux équipes opérationnelles des objectifs mesurables en termes de réduction des risques opérationnels.

D'autre part la complexité et la technicité croissante des opérations, l'augmentation des volumes et le développement du temps réel réduisent de plus en plus le droit à l'erreur, quand le coût de l'erreur peut rapidement se chiffrer en centaines de milliers voire en millions d'Euros. Le contexte est favorable à une prise de conscience car les risques opérationnels deviennent, comme le risque de crédit et le risque de marché, une composante intrinsèque du métier bancaire.

La mise en place d'une méthode de suivi des risques opérationnels se heurte pourtant à de nombreux obstacles d'ordre psychologique ou organisationnel en interne. Enfin la direction elle-même peut avoir tendance à minimiser l'impact des risques opérationnels, car il y a toujours dans le risque opérationnel un côté défaillance humaine, ce qui peut impliquer l'engagement des responsabilités des cadres dirigeants, tous aspects que l'on préfère occulter.

Le blanchiment a des effets défavorables pour les établissements de crédits du fait de l'instabilité des fonds provenant du crime organisé. Ainsi, de grosses sommes d'argent blanchi peuvent parvenir à une institution financière puis disparaître soudainement. Ce qui risque de poser des problèmes de liquidité par des retraits de fonds massifs de certaines banques. Le risque de blanchiment est d'autant plus fort que les opérations financières utilisées à cet effet s'effectuent dans un processus entièrement automatisé avec des opérateurs fictifs. Dans ce contexte, certains clients peuvent profiter de la dépersonnalisation de leurs relations avec l'établissement teneur de leur compte pour effectuer des opérations de blanchiment. Ce risque peut pourtant provoquer également une atteinte à la réputation, en effet des dysfonctionnements constatés dans une banque ou des incidents rencontrés peuvent ternir sa réputation et la déstabiliser. Tout ceci peut amener à un risque de contagion à l'encontre de la communauté bancaire et financière dans son ensemble, et avoir pour résultat un ralentissement du développement et de la croissance économique.

( ...) Le public, et lafinancepourtous.com comme les autres, n'en savait pas encore grand-chose. On sait juste qu'un trader aurait pris des positions extravagantes sur le marché des futures et que, quand la banque s'en est aperçue, elle a dû déboucler ses positions, ce qui a entraîné la perte de 5 milliards d'euros. Un trader c'est une personne qui intervient sur les marchés financiers, qui passe des ordres pour le compte de la banque pour laquelle il travaille. Dans un service d'arbitrage11(*), comme celui auquel appartenait le trader Jérôme Kerviel, on cherche à profiter des imperfections du marché. Si la loi de l'offre et de la demande joue à plein et si le marché est transparent, le prix d'un même bien, une action, par exemple, doit être le même partout. Toutefois, pendant une période intermédiaire, il y a des décalages entre le prix sur une bourse et le prix sur une autre bourse, dont profite l'arbitragiste. La différence entre les deux est souvent infime, il faut donc des volumes importants pour que l'activité soit rentable. Mais elle n'est pas en soi trop risquée dès lors que des achats compensent des ventes. Les arbitragistes n'ont pas normalement une position dite « directionnelle » (on mise sur la hausse ou la baisse d'un actif). Or, c'est précisément ce qui est, semble-t-il, reproché à Jérôme Kerviel : il aurait pris des positions à l'achat sur des montants très élevés (50 milliards d'euros), sans qu'elles soient compensées par une intervention de sens contraire. Le marché des futures, c'est le marché des contrats à terme. On fixe aujourd'hui le prix auquel on achètera demain, on parie sur l'évolution du prix d'une action ou d'un indice. En l'occurrence, le trader, semble n'avoir pris des positions que dans un sens et avoir parié sur la hausse de l'indice. L'évolution depuis le début de l'année ne lui avait pas donné raison ! Petite précision : les « futures » sont une des deux catégories principales de ce que l'on appelle les « dérivés », les « options » formant l'autre catégorie. Cependant, prendre une position, c'est prendre un engagement à l'achat ou à la vente. On est « long » (acheteur) ou « short » (vendeur) et par conséquent, déboucler sa position, ça veut dire vendre si on était acheteur jusque-là ou acheter si on était vendeur. En début de semaine, la Société Générale, constatant que son trader avait pris d'énormes positions acheteuses, a pris des positions inverses à la vente. Vendre en trois jours de telles quantités dans un marché en crise, c'était nécessairement perdre beaucoup d'argent. La perte aurait pu être encore plus grande si le marché avait connu la situation. Et réduite si la Société Générale avait mis plus de temps pour vendre et attendu que le marché remonte.

Conclusion

Cette première partie de notre travail nous a permis de situer et d'analyser les concepts théoriques du contrôle interne et du risque opérationnel. L'analyse ainsi faite nous permettra dans la suite de mettre en parallèle le dispositif de contrôle interne afin de relever les manquements.

Chapitre II : Contraintes au contrôle interne dans la maitrise du risque opérationnel

Introduction

Avant d'exposer les limites du contrôle interne, nous tenterons de mettre en exergue les défaillances que rencontre le contrôle interne.

Section 1 : Présentation du cadre opérationnel du marché bancaire

Le cadre opérationnel du marché bancaire comprend trois institutions telles que le middle, le front et le back-office et il convient ici de définir chacune d'entre-elles.

Le back-office a pour rôle d'effectuer les procédures administratives des opérations de marché passées par les traders.

En opposition à ce dernier, le Front Office comprend l'ensemble des tâches liées à la vente ou à la gestion qui se font par l'intermédiaire des clients de la banque.

Concernant le middle-office comme son nom l'indique, il a pour mission de faire le lien entre le back-office et le front-office. L'employé du middle-office se charge de gérer les différentes opérations bancaires mais également de vérifier que les transactions soient effectuées dans le respect des procédures internes.

Les définitions du front, middle et back-office étant posées, il convient de rappeler un principe fondamental du contrôle interne mentionné dans le règlement numéro 97/02 du 21 février 1997 du comité de la règlementation bancaire et financière à savoir celui de l'importance d'assurer une réelle séparation des pouvoirs de ces trois institutions.

A. Les déficiences au contrôle interne

De parle cas Kerviel et l'ensemble des facteurs ou événements ne lui permettant pas de garantir la réalisation des objectifs de l'entreprise, le système de contrôle interne présente de nombreuses limites.

1. Les limites au contrôle interne

A ce titre l'efficacité d'un système de contrôle interne nécessite de minimiser l'éventuelle survenance de la non atteinte des objectifs, cependant il n'en demeure pas moins que persiste toujours le risque de complications dans son déroulement. De ce fait chaque établissement de crédit doit de manière impérative prendre conscience des réelles limites du contrôle interne dans la gestion du risque opérationnel.

Ces limites résultent de nombreux facteurs dont l'existence même a été clairement abordée depuis le cas Kerviel; il s'agit des facteurs humains, de la résistance aux changements en passant par la fraude organisée.

En effet, l'homme est à la fois le principal acteur du contrôle interne même si ce dernier est un facteur difficile à mesurer et souvent source de dysfonctionnement.

A cet effet on distingue différentes hypothèses dans lesquelles l'homme peut être amené à se tromper.

Le risque d'erreur humaine lors de la prise de décisions ayant un impact sur les processus peut limiter l'efficacité des contrôles. Les personnes responsables sont souvent appelées à prendre des décisions dans un temps limité, en se basant sur les informations disponibles mais parfois incomplètes et en supportant de surcroît la pression liée à la conduite des activités.

Même les systèmes de contrôle bien conçus peuvent faire l'objet de dysfonctionnements, notamment dans les situations où les collaborateurs interprète les instructions de manières erronées.

La séparation des fonctions constitue souvent un instrument privilégié du contrôle interne.

Dans la pratique, ce type de contrôle a ses limites: deux ou plusieurs individus agissant collectivement pour accomplir et dissimuler une action peuvent fausser les informations financières ou de gestion d'une manière qui ne puisse être prévenue par la séparation des fonctions.

Un employé chargé d'effectuer des contrôles peut réduire ceux-ci à néant en agissant en collusion avec d'autres membres du personnel ou des tiers.

Sur ce point il faut comprendre qu'à chaque échelon d'activités, le personnel qu'il soit en bas ou en haut du système bancaire peut être réfractaire au système de contrôle. En effet, le cadre qui par péché d'orgueil s'abstient dans un souci de simplification de la lourdeur des tâches administratives de procéder au contrôle, ou que ce soit les administrateurs et collaborateurs de la banque qui par un défaut de formation considèrent le contrôle interne comme une punition, au lieu de l'envisager comme une source de valeur ajoutée pour la banque.

Elle anéantit littéralement le système du contrôle interne, car tout d'abord c'est le système de direction lui-même en passant par les cadres ou encore les experts qui peuvent en être l'origine. De ce fait, les manoeuvres dolosives caractérisées par l'entente entre les différents organes entourant le contrôle empêche toute découverte de la fraude.

Et enfin, une autre limitation tient à une conception purement économique à savoir le rapport cout/ avantages attendus.

En effet, il est important de rappeler que la conception du système de contrôle interne doit tenir compte des contraintes en matière de ressources.

Le contrôle interne doit ainsi être à la mesure du risque qu'il doit couvrir. On doit ainsi souligner que si le risque encouru est faible, la mise en place d'une procédure dont le coût serait supérieur au risque encouru deviendrait une faiblesse dans l'optique du rapport coût/efficacité.

Cependant, la décision prise parla direction quant à l'affectation des moyens et ressources attribué au contrôle interne restera toujours partiellement basée sur des critères subjectifs. Toute la difficulté consistant à définir le risque résiduel tolérable.

Par ailleurs, il est à craindre que l'accumulation des règles enferme les acteurs de l'organisation dans une sorte de conformisme qui se traduit par l'absence d'initiatives, toutes leurs actions étant d'ores et déjà guidées par des processus. Dans cette optique l'organisation dynamique serait enfermée dans un immobilisme non performant.

De plus une annexe détaillant les procédures de contrôle interne de la production financière de la société générale démontre le peu de dispositif mis en place. En effet, la série de contrôle définis par les procédures de la banque employant Jérôme Kerviel reposait uniquement sur deux tests à savoir :

· « vérification quotidienne de la réalité économique de l'ensemble des informations reportées »

· «Réconciliation dans les délais impartis entre les données comptable et les données de gestion selon des procédures spécifiques».

Les limites du contrôle interne se juxtaposent avec la règlementation bâloise expliquée ci-dessous.

2. Les limites de la règlementation baloise

Il est constant que les banques reconnaissent unanimement qu'il est indispensable de renforcer les mesures préventives et plus particulièrement en matière d'exigences en capital, qu'il y'a lieu de revoir au niveau du montant exigé de l'instauration du ratio levier sources de mécontentement.

Aujourd'hui avec Bale 3, les banques considèrent que la règlementation imposant de trop lourds contrôles aura un impact direct sur le système financier économique mais aussi de manière pragmatique sur le nombre et le cout du crédit.

De ce contexte, le contrôle interne risque d'être non efficace et rejoint la limite évoquée précédemment sur les résistances au changement.

Les banques pensent à juste titre que les investisseurs vont se désintéresser de leurs services en raison de la diminution de la distribution des dividendes nécessaire à l'augmentation du niveau de fonds propres.

Il faudra attendre 2018 pour pouvoir faire un point sur l'évaluation du ratio bale 3 et envisager son impact sur la rentabilité des banques.

3. Une réponse à ces limites

Le contexte réglementaire relatif aux contrôles s'est considérablement modifié ces dernières années, du fait de l'augmentation de pertes liées aux risques opérationnels. L'arrêté du 4 novembre 2014 est venu remplacer le règlement du comité de la réglementation bancaire n°97/02 du 21 février1997.

A cet effet, l'article 14 a pour objectif « d'assurer une stricte indépendance entre, d'une part, les unités chargées de l'engagement des opérations et, d'autre part, les unités chargées de leur validation, notamment comptable, de leur règlement ainsi que du suivi des diligences liées aux missions de la fonction de gestion des risques ». Cette indépendance est assurée par un rattachement hiérarchique différent de ces unités jusqu'à un niveau suffisamment élevé ou par une organisation qui garantit une séparation claire des fonctions ou encore par des procédures, éventuellement informatiques, conçues dans ce but et dont l'entreprise est en mesure de justifier l'adéquation.

Cet arrêté fait bien référence à la fraude perpétrée par l'Affaire Kerviel suite à une mauvaise séparation des pouvoirs.

Cette législation permet ainsi de fixer un cadre de référence stricte afin que cette dernière ne se reproduise plus.

Au-delà de ces mutations, des référentiels internationaux de contrôles internes, réunissant les compétences de différents professionnels, de grandes entreprises et de cabinets d'audits peuvent être proposés aux banques afin de répondre aux défaillances du contrôle interne dans la gestion du risque opérationnel.

Le coso report s'inscrit dans cette démarche générale depuis plus de 20 ans et permet de comprendre comment relier:

L'évolution rapide de l'environnement et des moyens technologiques ne permettent pas de répondre aux objectifs de manière efficace.

De ce fait, le référentiel a donné naissance à un nouveau cube dit COSO 2 dont les trois faces visibles donnent la base des évaluations à réaliser de manière plus précise. Celui-ci est constitué de 8 composantes comme on peut le voir sur la face centrale du cube ci-dessous du schéma numéro 2.

Ainsi après un simple constat on peut voir qu'en l'espace de 10 ans celui-ci s'est enrichi de deux nouveaux points, à savoir la définition des objectifs et l'évaluation des risques (Cf.schémas)

A la différence du COSO 1 qui était un cadre de référence pour le contrôle interne, le COSO 2 lui permet de fixer le cadre de référence du management des risques. Ce dernier permet d'apporter une certaine rigueur dans l'identification et l'évaluation du risque opérationnel. Ce référentiel a connu de nouveaux changements, lui aussi peu de temps après le cas Kerviel.

Cependant ce dispositif ne tient pas compte du facteur humain, celui-ci étant jugé comme impossible à mesurer. Il indique en revanche différentes méthodes permettant soit de le prévenir à l'avance, soit d'arrêter la fraude avant qu'elle engage de fortes pertes.

Ce nouveau dispositif ne consiste pas à ajouter de nouvelles procédures là où celles-ci sont déjà existantes. Ce référentiel permet d'éviter les mêmes erreurs produites liées aux risques opérationnels.

En effet décliné sous 17 principes, ce nouveau référentiel a pour rôle de renforcer l'ensemble des contrôles sur «les opérations, le reporting et les objectifs de conformité». (COSO, 2013, p11)

Ainsi en multipliant ces contrôles, une banque pourrait ainsi « identifier de nouveaux risques et définir des dispositifs de maitrise appropriés» après avoir ciblé les contrôles pour mieux répondre aux évolutions de l'environnement (COSO, 2013, p13).

En attendant un nouveau référentiel toujours plus performant le COSO semble être le dispositif le plus adapté pour répondre à l'ensemble des limites évoquées ci-dessus et ainsi gérer de manière efficace le risque opérationnel.

Section 2 : La difficile prise en compte du risque opérationnel à tous les niveaux de la banque

On parle de difficile prise en compte des risques opérationnels car il avait toujours été préférable de privilégier les risques liés à l'activité bancaire (risque de taux, de liquidité, de marché...) faisant parties de la culture de gestion des risques.

A l'inverse, les risques opérationnels étaient moins formalisés et gérés de façon moins structurée et spontanée par les différentes entités de la banque.

A. Evolution organisationnelle des banques par rapport au risque opérationnel

La mise en oeuvre organisationnelle d'un dispositif de maîtrise de risques opérationnels nécessite et fait intervenir de nombreux acteurs de l'entreprise. Ces risques se retrouvent à tous les niveaux et dans toutes les fonctions de l'entreprise.

D'où la nécessité de mettre en place une approche transversale à l'échelle de la banque, et non par « étage » car les différents acteurs de la banque vont tour à tour jouer des rôles opérationnels, de contrôle et de validation et ce, de manière itérative avec une implication forte non seulement de la Direction Générale, mais aussi des fonctions de Contrôle interne (Permanent et Périodique).

1. Les lignes métiers et les opérationnels

La gestion des risques opérationnels nécessite une déclinaison dans les lignes métiers selon des partages de responsabilité.

L'un des enjeux majeurs d'une politique de gestion des risques opérationnels concerne la formation et la mobilisation des équipes aux risques existants et à la bonne gestion des incidents.

Sur les fonctions opérationnelles, il est fréquent de retrouver deux niveaux de fonctions qui ont une responsabilité différente dans le dispositif.

Au premier niveau, on retrouve le « Risk Management ou gestion des risques ». Un Risk Management se retrouve dans tous les secteurs d'activités. Cependant, dans le domaine bancaire, il a un caractère particulier, en ce sens où le Risk Management évolue dans une dimension réglementaire très forte, ce qui se répercute sur la gestion des risques dans ce domaine.

La gestion des risques signifie mesurer les risques encourus dans le cadre d'une activité c'est à dire évaluer le risque pour savoir s'il est possible de le supporter.

Il s'agit notamment d'appréhender le risque et d'y apporter des solutions concrètes, notamment par le biais d'actions correctrices.

Les fonctions du Risk Management relèvent à la fois de l'opérationnel et du domaine de la surveillance^12(*) au même titre que la direction de la fonction opérationnelle.

En effet, cette fonction assure entre autre, la gestion des risques opérationnels^13(*), c'est - à - dire la mise en place d'outils d'évaluation et de reportages ; le Risk management propose des mesures de prévention des risques en s'assurant de la remontée d'informations fiables et exhaustives dans le dispositif de suivi des incidents et valide ces informations ;

Il définit des plans d'actions nécessaires à la maîtrise des risques, ou encore, assure une transparence du dispositif.

Ses décisions peuvent porter sur un renforcement du contrôle interne pour une application stricte des politiques et procédures, sur le développement de nouveaux outils de gestion, un changement de politique commerciale et sur la mise en place de nouvelles procédures de contrôles.

Enfin, au deuxième niveau se trouve les collaborateurs. Ils assurent la gestion des risques opérationnels en passant nécessairement par la détection et l'enregistrement des incidents, et, à leur niveau, à la mise en place des mesures correctives (par des plans d'actions) et conservatoires.

2. Les métiers transversaux face aux risques opérationnels

Les métiers transverses sont en général en charge de risques particuliers (système d'information, déclarations réglementaires...) ou ont des contraintes spécifiques (confidentialité des informations pour les ressources humaines) qui impliquent parfois des traitements particuliers.

Ces métiers transversaux regroupent les systèmes d'information, la sécurité de l'information, les ressources humaines, la logistique ou encore les services juridiques.

Les métiers transversaux jouent un rôle majeur dans le dispositif de maîtrise des risques opérationnels et ce, à tous les niveaux.

Ainsi, la réforme de Bâle II, a induit les banques à modifier leur organisation interne même si en France cette évolution avait déjà été entreprise par le Règlement CRBF 97/02, qui prévoyait déjà une réorganisation pyramidale des banques avec des contrôles de premier, second et troisième niveau, notamment dans la lutte des établissements bancaires contre le blanchiment des capitaux ou contre le financement du terrorisme.

Ainsi la gestion des risques opérationnels suppose une organisation des lignes métiers associant les fonctions opérationnelles.

3. La conception d'un modèle de mesure du risque opérationnel

Plusieurs points de départ sont possibles lorsqu'il s'agit de développer un modèle de mesure du risque opérationnel. Tous ne conduisent pas au même point d'arrivée. Il est donc toujours préférable d'avoir d'emblée une vision claire du résultat final, et de réfléchir ensuite aux différentes composantes qui vont permettre de l'atteindre.

Les responsables du risque dans les banques ont des exigences bien précises concernant l'apport d'un modèle de risque opérationnel. Pour être véritablement efficace à des fins de gestion, un tel modèle doit être en mesure d'apporter une réponse concrète aux questions suivantes :

Comment dimensionner le portefeuille de la banque par rapport à ces facteurs de risque ?

Quel impact le risque opérationnel le plus important peut-il avoir sur le Profit&Loss ?

Que peut-on faire pour limiter les pertes si telle situation de crise se produit ?

Il est bien entendu possible d'étendre la liste à d'autres aspects de la gestion du risque opérationnel, pour peu qu'ils s'articulent autour de ceux mentionnés précédemment :

Identification des risques, impact de ces risques sur le P&L et sur la charge en capital, benchmarking. Cependant, il vaut mieux marquer un temps d'arrêt à ce stade, construire le modèle de mesure permettant de répondre à ces questions, le tester, procéder aux nécessaires et inévitables ajustements (paramètres, choix de la distribution, hypothèses, etc.) afin d'obtenir des estimations plus crédibles, et voir comment le modèle de mesure fonctionne en pratique^14(*). Observer en quoi le modèle modifie ou fait évoluer les pratiques de gestion du risque opérationnel fournit un test intéressant de ces étapes successives.

Ce n'est qu'après avoir éprouvé un modèle de mesure que l'on peut envisager de la perfectionner. Pour que ce travail soit véritablement efficace, il faut se fixer une ligne de conduite. Les améliorations apportées doivent répondre avant tout à une préoccupation réelle du risk management, et non pas être un alibi pour toujours plus de sophistication stérile. En d'autres termes, l'objectif ultime doit rester une gestion du risque opérationnel plus performante. On peut très bien gérer les risques opérationnels sans avoir un très bon modèle qui mesure ces risques, même s'il faut bien admettre que cela est de moins en moins le cas, surtout pour les banques de premier plan. Quoi qu'il en soit, il serait faux de croire que la gestion du risque opérationnel, c'est avant tout des modèles mathématiques réservés aux seuls quants^15(*). On reproche souvent aux quants de réduire la gestion des risques à des modèles mathématiques. Or, la gestion des risques, c'est d'abord une organisation, un système d'information, des reportings, des règles de décision et un ensemble de procédures et de normes. De nombreux professionnels considèrent d'ailleurs que l'on peut très bien gérer les risques financiers sans avoir un très bon modèle (mathématique) pour les mesurer. Sans doute, mais cela est de moins en moins le cas, car la gestion des risques bancaires et financiers s'est considérablement sophistiquée ces dernières années.

Une fois qu'il est spécifié dans ses grandes lignes, le modèle de mesure - indépendamment de sa forme et de son degré de technicité - doit impérativement s'ancrer dans un système intégré de gestion du risque opérationnel. Cela permet de se sentir « confortable » sur deux points. Au fur et à mesure du développement du modèle de mesure, on est assuré que les différentes hypothèses, modifications et aménagements divers sont envisagés en cohérence avec la ligne directrice fixée par le risk management (très vraisemblablement, améliorer la gestion du risque opérationnel). Et c'est aussi une garantie que ces ajustements successifs s'alignent sur les processus de gestion déjà en place dans l'institution.

Là encore, Bâle II constitue un point de départ commode. Un système intégré de gestion du risque opérationnel se décompose en cinq étapes :

Cette figure ci-dessous représente ce système intégré, et met en exergue trois propriétés essentielles de ce dernier : (1) il s'applique à toutes lignes de métier au sein de l'institution, que celles-ci soient ou non incluses dans la classification proposée par Bâle II ; et (2) il s'applique à tous les nouveaux produits bancaires et nouvelles initiatives en amont de leur lancement.

Cette figure illustre également la nécessité d'améliorer en permanence le système. Ce principe de gestion du risque opérationnel mérite d'ailleurs d'être élevé au rang de règle d'or.

Sans ce processus d'amélioration à cycle continu, le système représenté sur la Figure peut facilement et rapidement se déliter. Plus exactement, il est facile de tomber dans une spirale incessante de pseudo-perfectionnements dans l'espoir totalement vain de définir un système « parfait » sans jamais pour autant en retirer quelque chose de vraiment utile sur un plan pratique. Certes, il est tentant de chercher à spécifier de prime abord un modèle de mesure dont on espère qu'il intègre tous les facteurs de risque susceptibles d'influer sur le niveau de risque opérationnel. Le problème est que cela rallonge inutilement le délai de mise à disposition du modèle. En outre, les raffinements méthodologiques peuvent parfois atteindre un tel degré de sophistication, que le modèle de mesure devient de fait difficilement compréhensible pour le senior management de la banque. Nul doute que l'utilité d'un tel modèle s'en trouve particulièrement réduite, et qu'il y a de fortes chances pour que le projet ne soit pas soutenu par ces cadres expérimentés.

4. Suggestions pour une meilleure maitrise du risque opérationnel

L'intérêt de cette approche est de faire apparaitre un enchainement logique des différentes phases d'activités de la banque afin de mieux gérer les risques opérationnels. Pour ce faire, les contrôles doivent être axés surtout au niveau permanent c'est à dire, au premier et au deuxième niveau pour un premier contrôle, ainsi que leur hiérarchie immédiate. Les évolutions défavorables doivent pouvoir être détectées rapidement afin de permettre l'adoption de mesures appropriées. Il faut noter que le contrôle permanent permet la détection des dysfonctionnements et vérifie la qualité des opérations avec une dimension de prévention. Sans doute, cela n'exclut pas l'importance du contrôle périodique (troisième et quatrième niveau).

Conclusion

La maîtrise des risques opérationnels constitue une innovation non négligeable pour la profession bancaire. Les pertes et les faillites bancaires afférents aux risques opérationnels, ne sont pas passés inaperçus et sont restés dans les esprits, notamment dans ceux des régulateurs.

Dans ce chapitre, nous avons principalement abordé le problème de la mesure de ce risque. Il faut souhaiter que les modèles de risque opérationnel offrent dans un avenir proche le même niveau de transparence et d'accessibilité que ceux utilisés en risque de marché ou de crédit.

C'est un passage obligé si l'on veut intégrer efficacement le risque opérationnel dans un système global de gestion des risques. Bien évidemment, il est toujours possible d'améliorer un modèle de mesure, qu'il s'agisse ou non de risque opérationnel. Cependant, il faut rester prudent face à la course à l'armement méthodologique de ces dernières années. Il n'est pas question de nier que le niveau de technicité exigé d'un risk manager s'est fortement élevé. Simplement, il faut se rappeler qu'un bon modèle est avant tout un modèle utile en pratique.

Chapitre III : Environnement de la banque Société Générale Mauritanie, prise de connaissance et diagnostic du système de contrôle

Le Groupe Société Générale est une des principales banques françaises et une des plus anciennes. Elle est fondée par un groupe d'industriels le 4 mai 1864 pour favoriser le développement du commerce et de l'industrie en France. Au fil du temps la banque s'est beaucoup développée suivant les évolutions des métiers de la banque. Mais ce sont au cours des 20 dernières années que les mutations structurelles induites par une déréglementation du secteur bancaire et des marchés financiers ont beaucoup contribué à de profonds bouleversements.

A partir de 1894, la banque se structure comme un grand établissement de crédit moderne. Le groupe ne se contente plus de la collecte des dépôts des entreprises et de particuliers, mais s'oriente de manière importante vers les crédits d'exploitation à court termes destinés aux industriels et négociants, ainsi que vers le placements des titres dans le grand public, les emprunts privés etc. Dans les années 90- 2000, la banque se développe autour de trois grands pôles : banque de détails, gestion d'actifs et banque de financement et d'investissement. L'entreprise est présente dans 85 pays et emploie 157 000 collaborateurs de 120 nationalités, dont une majorité hors France métropolitaine. Le groupe accompagne quotidiennement plus de 33 millions de clients à travers le monde.

La société générale est le 3^e groupe bancaire français. C'est un acteur dit `'universel'' dans le secteur bancaire car elle présente la particularité d'être sur tous les métiers de la banque. On peut aussi décomposer l'activité en trois grands métiers :

Ø La banque de détails : Son activité est essentiellement centrée sur la clientèle particulière

Ø La banque d'investissement et de financement : Son activité est centrée sur la clientèle professionnelle.

Ø La gestion d'actifs : Activité centrée sur la clientèle professionnelle que celle privée

L'organisation de la SG est axée sur trois valeurs phares chères : le professionnalisme, l'esprit d'équipe et l'innovation. Sa structure est de type fonctionnel en réseau dans ce sens que d'une part, elle fait la distinction entre les grandes fonctions opérationnelles du cycle d'exploitation et d'autre part elle conserve un lien en réseau entre ses services centraux et les différentes agences.

Le Groupe Société Générale est désormais une banque ou la diversité des métiers est un défi permanent et doit accompagner les évolutions majeures d'un groupe en croissance constante sur l'ensemble de la planète et prendre en compte les problématiques propres à chacun de ses métiers, tout en étant porteuse de cohésion.

Née de la réorganisation ayant suivi le rachat de la BII par la Société Générale en 2007, la Société Générale Mauritanie fait partie des premières banques de la place en termes d'effectif. Toutefois, elle fait face à un marché local actuellement très concurrentiel avec l'arrivée de nouvelles banques. En effet, la Mauritanie compte aujourd'hui 18 banques dont 5 nouvellement implantées pour un total de 3,5 millions d'habitants.

En janvier 2007 la Société Générale Mauritanie, Société Anonyme au capital de 6 000 000 000 d'Ouguiyas s'implante en Mauritanie. Depuis c'est avec la force d'un groupe international comptant plus de 157 000 salariés que la Société Générale déploie en Mauritanie son modèle de banque universelle.

Chaque jour, la Société Générale Mauritanie rend possible les projets des particuliers, accompagne le développement des entreprises dans plusieurs ville du pays.

La Société Générale Mauritanie accompagne au quotidien 2 000 entreprises dans différents secteurs. Près de 200 personnes travaillent chaque jour pour satisfaire les exigences de nos 30 000 clients. Elle compte actuellement treize agences au service de ces clients

Sur la page suivante l'organigramme de la Société Générale Mauritanie. Elle compte cinq grandes directions et le secrétariat général: direction d'exploitation, la direction des risques, la direction des ressources humaines, la direction financière et la direction de la logistique.

Introduction

Apres les indépendances, le système bancaire Mauritanien va connaître une période de relative stabilité jusqu'à la profonde crise des années 1980 dont les mesures de résorption vont consacrer la nouvelle banque. La réforme du système et la redéfinition des rôles aussi bien des acteurs que des autorités de tutelle aboutissent à l'émergence des banques nouvelles notamment la Société Générale Mauritanie.

C'est dans ce contexte qu'une direction connue sous une direction du contrôle permanent été mise en place.

La direction du contrôle permanent de la SGM est supervisée par le SG. Cette direction regroupe les pôles d'activités suivants : Le contrôle de la surveillance permanente, la LAB_FT, la Surveillance Permanente, les Risques Opérationnels, Le Plan de Continuité d'Activité et le Juridique et la Conformité.

Elle a pour but d'animer le dispositif de la SP sur un périmètre défini en collaboration avec le responsable pour la filiale du pilotage et de l'animation des activités de Surveillance Permanente, du contrôle des risques opérationnels (incluant le continuité d'activité), de la conformité et de la lutte anti blanchiment dans le but d'identifier et d'évaluer les risques, de proposer et mettre en place des mesures correctrices et de vérifier l'amélioration de ce dispositif.

En effet, ce dispositif bien défini, permet à la SGM de se prémunir contre la survenance des risques opérationnels, d'accompagner tous les collaborateurs de la filiale dans la réalisation de la surveillance permanente et dans la conquête de la culture du risque. Ainsi, le contrôle doit mettre en place un suivi formalisé à la réalisation des plans correcteurs.

Section 1 : Présentation du back office : Contrôle de la Surveillance Permanente

A. Contrôle de la Surveillance Permanente

1. Définition

Le Contrôle de la Surveillance Permanente est une entité responsable du contrôle de la qualité de la Surveillance Permanente et de l'animation du dispositif de la Surveillance Permanente sur un périmètre défini. Il est, en collaboration avec les Responsables de Service, son responsable hiérarchique et le Contrôle Permanent. Il oeuvre à l'amélioration continue du dispositif de la Surveillance Permanente et à la réduction des risques opérationnels.

2. Description du Contrôle de la Surveillance Permanente

Ci-dessous l'organigramme du CSP. Le CSP est rattaché hiérarchiquement au Secrétariat Général, fonctionnellement à la direction du contrôle permanent.

Section 2 : Rôles et missions du CSP

A. Rôles

Le Contrôleur de la Surveillance Permanente joue succinctement plusieurs rôles et ce, comme suit :

Ä Définir en liaison avec le Responsable de la Surveillance Permanente, le Responsable des Risques Opérationnels et en cas de besoin le Responsable de la conformité, les contrôles de Surveillance Permanente permettant de prémunir la filiale contre la survenance de risques opérationnels, de risque d'image et de risque de non-conformité.

Ä Accompagner les Responsables de services et les délégataires de la Surveillance Permanente dans la réalisation de la Surveillance Permanente et dans l'acquisition de la culture Risques opérationnels

Ä Réceptionner et centraliser les travaux et les faits validés par le responsable de département, assure les relances pour le respect des délais

Ä Élaborer le calendrier et le périmètre de missions de vérification en collaboration avec le Contrôle Permanent en s'appuyant sur sa connaissance terrain

Ä Effectuer des missions de vérification inopinées par sondage, en sélectionnant des contrôles réalisés par les responsables de services.

Ä Surveillance formalisée des procédures : vérifier la pertinence de l'échantillon, vérifier la pertinence/exhaustivité des anomalies détectées et s'assurer de la pertinence des plans d'actions et de la correcte clôture des anomalies.

Ä Surveillance Permanente des comptes : vérifier la correcte revue des comptes sensibles et l'apurement des anomalies.

Ä Synthétiser les travaux de vérification de la qualité de la Surveillance Permanente.

Ä Effectuer avec le Responsable d'agence une restitution des travaux de vérification afin d'identifier les actions correctrices.

Ä Organiser avec le Responsable d'exploitation ou de l'Unité Commerciale une réunion trimestrielle de restitution, de mise au point et de validation des actions correctrices.

Ä Être force de proposition auprès du Contrôle Permanent pour faire évoluer le dispositif SP du réseau.

B. Missions

Le Contrôle de la Surveillance Permanente a pour mission de contrôler et garantir la sécurité et la validité pour la bonne démarche des opérations. Il assiste les acteurs pour faire face aux risques opérationnels.

1. Calendrier de missions

Un calendrier trimestriel est recommandé. Ce calendrier est défini et adapté en fonction des ressources de l'entité affectées au contrôle de la SP. A minima, les missions de vérifications de la SP doivent être conduites une fois par trimestre dans chaque agence ou département du siège. Il convient d'envoyer des contrôleurs différents dans chaque agence ou service du siège chaque trimestre (roulement des périmètres des contrôleurs de SP à mettre en place). Le contrôleur élabore son plan de mission et le valide avec le Contrôle Permanent de SP (quelles seront les thèmes des futures missions).

Ce plan de mission n'est pas communiqué aux Responsables d'agence ou aux Responsables de services.

C. Durée d'une mission

Une mission dure normalement une semaine (1 jour de préparation, 3 jours de mission, 1 jour de synthèse). La mission doit intervenir lorsque le Responsable d'agence / Responsable de département ou leurs adjoints sont là, d'où l'importance de connaître les congés prévisionnels.

1.1 Différentes étapes de la mission

Toute intervention dans une agence/ un département nécessite une phase de préparation avec le département contrôle permanent de l'entité qui représente environ 1 journée.

· Production de l'agence ou du département du dernier trimestre et de la période en cours (si disponible) _ cette information permettra de rapidement vérifier que le sizing des échantillons est cohérent avec ce qui a été prévu au départ

· Liste des comptes sensibles et mode de suivi de ces comptes ainsi que la personne qui en est en charge

Ä Sur les comptes sensibles, reprendre les comptes dont le sens du solde est anormal par rapport au sens attendu

NB : Le Contrôleur de SP effectue une extraction dans un outil des contrôles non effectués pour demander les justifications de non réalisation aux responsables du contrôle au cours de sa mission.

Dans le cadre des missions de vérification, le contrôleur de SP se rend dans les agences, avant l'ouverture au public, ou services concernés, sans s'annoncer. Il présente sa pièce d'identité ainsi que son ordre de mission au Responsable d'agence ou de département.

Il remet la liste des contrôles qu'il a préparée au Responsable d'agence ou responsable de département (ou leurs adjoints) qui doit lui transmettre l'ensemble des dossiers de base afférents à ces dossiers pour procéder ensuite aux contrôles. Les pièces à contrôler doivent comporter :

- référence des pièces contrôlées (numéro dossier, numéro de pièce comptable, etc.)

Le contrôleur de SP reprend les éléments sur la fiche et établit son dossier de synthèse.

Dans ce rapport il fait d'abord un commentaire sur les actions sur lesquelles le responsable d'agence ou de département s'engageait lors du dernier passage et leur statut. Par ailleurs, il met ensuite en évidence les problématiques les plus importantes en matière de qualité de SP.

Ä Contrôles déclarés inapplicables alors que des opérations relevant de ce processus ont été traitées sur la période

A la fin de chaque mission, une réunion est prévue sur place entre le contrôleur de SP et le Responsable d'Agence ou de département pour restituer les constats de la mission (cf. dossier de synthèse) et établir un état complet sur la qualité de la Surveillance Permanente. Ils définissent ensemble les plans d'actions qui doivent être mis en place pour corriger les anomalies détectées et plus largement, pour améliorer la qualité de la SP.

D. Acteurs de la surveillance permanente

La sécurité au quotidien des agents leur permet de faire face aux risques engendrés par leurs activités. Ils doivent s'assurer que les contrôles sont faits au quotidien et en cas d'anomalies de le faire parvenir à leur responsable.

Le responsable de service a pour missions de sensibiliser les agents sur le respect des procédures des opérations.

Il fait une mise à jour périodique des comptes sensibles et l'échantillonnage des contrôles à réaliser, identifie les anomalies et les dysfonctionnements afin de les corrigés et ce, souvent avec le responsable de la surveillance permanente.

Celui-ci a pour rôle de vérifier l'ensemble des activités liées au risque sur la surveillance permanente.

Section 3 : Dispositif de la surveillance permanente

A la SGM, plusieurs procédures ont étés mise en place afin qu'il y'ait une souplesse au niveau des risques.

Le but étant de situer les enjeux et les étapes pour mettre en oeuvre la surveillance permanente et d'identifier le rôle de chacun dans la maitrise des risques au quotidien et la surveillance permanente.

Les procédures sensibles sont des procédures qui, si elles ne sont pas respecter font courir à la banque des pertes financières, de dysfonctionnements etc.

Les comptes sensibles sont des comptes qui, s'ils ne sont pas surveiller entrainent des pertes ou peuvent utiliser pour y affecter des fraudes.

1. Exemple de procédure

Pour une procédure, il y'a des acteurs qui sont impliqués et chacun a son propre rôle à jouer, et ce comme suit :

Celui-ci procède à une vérification et valide la liste des procédures et comptes sensibles et l'organigramme détaillé de la surveillance permanente et l'envoie au responsable de la surveillance permanente.

Le responsable de service établit une liste des procédures sensibles et une liste de comptes sensibles par échantillonnage. Il établit l'organigramme détaillé et le transmet au supérieur hiérarchique.

Le responsable de la surveillance permanente procède à une validation au deuxième niveau des procédures et comptes sensibles ainsi que l'organigramme.

Il crée souvent des organigrammes de la surveillance permanente définissant le rôle de chacun pour chaque service.

Jadis, les contrôles se faisaient sur papiers. Mais, de nos jours, avec l'évolution de la technologie, SGM utilise un logiciel très performant pour réaliser les contrôles.

SGM utilise est un outil de déclaration intégré pour réaliser les contrôles affectés pour chaque services/ départements/ agences. Il y'a une fréquence à définir, c'est à dire mensuelle, trimestrielle, semestrielle ou annuelle.

En effet, c'est le manager qui assure les contrôles qui doivent être fait ou en cas d'absence, le déléguer à son assistant (déclarant) qui, après pourra enregistrer le travail sans le soumettre. La soumission ne revient qu'au manager.

Dans le cadre du contrôle, une description synthétique de l'échantillon à contrôler doit être faite, c'est à dire, décrire l'échantillon global et sur cette base l'échantillon effectué.

Pour clôturer le tout, il doit joindre un fichier comme preuve du contrôle effectué.

Cependant, il faut noter que, le contrôleur de la SP, ne peut effectuer aucune modification sur les déclarations faite sur cet outil, il bénéficie d'un profil de superviseur.

Dans le cadre des contrôles, on a procédé à une extraction de tous les contrôles effectués par agence afin d'avoir une aperçue sur :

Ceci concerne le total des contrôles qu'une agence va opérer sur une périodicité donnée, trimestriel à titre d'exemple.

Il s'agit des contrôles effectué, non effectués, des contrôles sans opérations, incompatible et ceux qui sont en cours de traitement. Tout ceci rentre dans le cadre du total des contrôles à réalisés.

Pour avoir le résultat du pourcentage des contrôles déclarés, il suffit de multiplier le nombre de contrôles réalisés par le nombre de contrôles attendus divisé par 100.

Il arrive souvent dans une agence que les contrôles ne se soient pas exécutés, dans ce cas, le pourcentage sera nul.

C'est la nature du contrôle. C'est à dire si le contrôle est fait mensuellement ou trimestriellement.

v Autres tâches réalisées par le contrôleur de la surveillance permanente :

Le contrôleur de la surveillance permanente peut être amené à effectuer d'autres missions dans d'autres directions, telles que le suivi des erreurs de caisse, ou des cas de fraude, etc....

Nous avons pu assister lors du stage, a des missions hors contrôle de la SP, telles que :

· Erreur de caisse : une erreur de caisse correspond, à une erreur d'exécution du caissier au moment de versement ou de retrait d'espèces. Le contrôleur intervient, dans la vérification en effectuant des rapprochements avec les états de caisse et les dossiers des pièces de caisse afin de s'assurer que toutes les pièces ont été correctement passées dans le système.

· Inventaire des clés de la banque : d'autre part, le Contrôle de la Surveillance Permanente a aussi pour mission de faire l'inventaire des clés à dispositions des agents dans les différentes agences et dans tous les services de la banque. Ceci a pour objectif de répertorier les locaux ayant les doubles des clés que ça soit les bureaux, les coffres, les portes d'entrées, les DAB et de savoir le comment de l'accès, c'est à dire si c'est à accès biométrique ou badge ; D'inventorier les doubles que détient l'agent, le nombre total des clés avec références ou sans références et les anomalies qui en découlent.

Tout ce travail a pour but de minimiser autant que possible les impacts d'éventuels risques sur la banque afin de garantir la sécurité des opérations.

Section 4 : Les autres services du contrôle permanent

Le contrôle permanent est composé d'autres services tels que, les risques opérationnels (incluant la continuité d'activité), de la conformité et de la lutte anti blanchiment dans le but d'identifier et d'évaluer les risques, de proposer et mettre en place des mesures correctrices et de vérifier l'amélioration de ce dispositif.

A. Structure organisationnelle

1. Lutte anti blanchiment & le financement du terrorisme (lab_ft)

Le blanchiment des capitaux consiste à rendre licite l'argent provenant d'activités illégales. Le financement du terrorisme est le fait de fournir ou de réunir des fonds dans l'intention de les voir utilisés pour commettre un acte terroriste.

Au-delà d'une réglementation, ce dispositif permet à la SGM de lutter contre le blanchiment d'argent et de faire face aux risques financiers. Mais, aussi de lutter contre le financement du terrorisme. Cela nécessite de la part de la banque plus précisément du service de LAB - FT une attention particulière, notamment des listes officielles des personnes suspectes mais aussi des pays sous embargos. Sur cette base, ce service utilise un logiciel très performant détaillé ci-dessous :

NB : Pour des raisons de secret bancaire, j'ai choisie d'appeler l'outil utilisé par OMEGA

C'est un outil de détection des transactions suspectes effectuées sur la base de données à la Société Générale à hauteur d'un seuil. Une fois ce dernier atteint, on parle de transactions pertinentes.

On dit qu'une transaction est pertinente, lorsque le client n'a pas l'habitude d'opérer certaines transactions. Suivant cette transaction, l'équipe d'AMLO a mis en place un système de suivi à savoir :

o Justificatif relatif à la transaction (toutes renseignements relatif au retrait/ versement espèces)

La durée du traitement du dossier ne doit pas dépasser 72 heures et une fois que les transactions deviennent habituelles, la Commission d'Analyse des Informations Financières (CANIF) devra être saisie.

Ce sont des transactions non suspectes, habituelles correspondant au profil du client, à son patrimoine et/ou à l'activité qu'il opère.

Les personnes politiquement exposées (PPE), sont des personnalités (inclus leur entourage) qui occupent ou qui ont occupé des fonctions importantes dans le secteur privé ou public.

Une fois l'ouverture du compte validé par AMLO, il procède à la surveillance de toutes les transactions effectuées par les personnes sensibles avec une vigilance très renforcée.

2. Le service juridique et conformité

Le service juridique effectue des taches de saisies et de réquisitions. Ils traitent des dossiers de clients décédés et procède à l'étude des contrats soumis la validation, des cautions et conseils etc....

Pour ce qui est du domaine du service juridique, les saisies sont une procédure civile par laquelle un créancier peut mettre sous-main de justice les biens de son débiteurs par exemple les saisies conservatoires, Du salaire etc.

Les réquisitions qui sont des conclusions présentées par le représentant du ministère public devant toutes les catégories de juridiction de l'ordre judiciaire ; Lorsqu'une affaire lui est communiquée ou qu'il estime devoir le devoir de faire connaitre son avis. Il faut noter que les saisies sont toujours en arabe et requièrent la nécessité de les traduire en français par une personne habilitée.

Il s'agit du client qui avait souscrit un prêt de leur vivant et qui avait adhère à une police d'assurance.

S'agissant des clients décédés engagés assurés, il est nécessaire de ressortir les dossiers de crédit pour savoir le montant restant dû au moment du décès. Ces clients étant assurés, leurs encours seront remboursés par la police d'assurance auprès de la banque.

Il s'agit du client qui avait souscrit un prêt de leur vivant sans être assuré.

S'agissant du client décédé engagé non assuré, le remboursement de l'encours du au moment de son décès, est réclamé auprès de sa famille.

Il s'agit du client qui n'avait pas souscrit à un prêt (aucun engagement) de leur vivant.

Enfin, le client décédé non engagé, la banque doit remettre à la famille du défunt (ses héritiers) tout le montant disponible sur son compte et procédé à la fermeture

Ce volet concerne la vérification de la conformité des dossiers des prêts aux modèles disponibles dans le répertoire des contrats standards.

Une fois cette vérification faite et qu'aucune anomalie découverte, les dossiers de prêts seront ensuite validés.

Le suivi légal des instructions est assuré parle service de la conformité du moment que celui-ci dispose de tous les documents émis par la BCM.

C'est dans ce sens, qu'un rapport est établi pour vérifier toute réserve qui pourrait être à l'encontre de l'activité de la banque et une veille réglementaire pour suivre l'évolution des règlements, lois de la BCM est remontés en temps réel au prés de tous les départements concernés.

A titre d'exemple, la diffusion d'une nouvelle réglementation par la BCM concernant l'octroi des crédits.

Section 5 : Risque opérationnel

1. Définition

Le risque opérationnel désigne le risque de perte résultant d'une inadaptation, d'une défaillance, de dysfonctionnement de système interne et d'événements externes.

Le risque opérationnel est présent à tous les activités de la banque. En effet, il repose sur l'organisation des organes du contrôle interne comprenant ainsi la surveillance permanente. Celui-ci vise à optimiser l'efficacité dans le cadre du respect de la gestion des procédures et des méthodes.

En outre, l'objectif majeur des risques opérationnels concerne l'indentification du risque et la mise en place des plans d'actions afin de contrôler et minimiser les risques inopinés.

Cependant, dans le cadre de prévention du risque opérationnel, j'ai eu à effectuer un travail sur les indicateurs clés de risque (IR) pour minimiser les pertes potentielles.

Les indicateurs de risque ont pour but de nous alerter sur d'éventuelles pertes à venir. Ses indicateurs doivent être prévisibles, c'est à dire qu'ils doivent permettre à la banque de faire apparaitre des sources de risques résultant de dysfonctionnement par exemple le lancement d'un nouveau produit, la rotation des employés, panne de systèmes, suivi des comptes etc.

En effet, pour ce faire, ces indicateurs comportent un seuil minimum, et lorsque celui-ci est atteint ou est en alerte, un plan de suivi devrait être mis en place afin d'identifier les risques et de minimiser leur impacts et aussi mettre en place un plan d'action pour améliorer les opérations à réaliser.

Sous la supervision du responsable de la surveillance permanente, j'ai eu à faire un suivi et une analyse des indicateurs de risque au niveau de chaque agence. Ce travail s'est déroulé comme suit :

Il s'agit de s'assurer de la conformité entre le nombre de la dernière valeur et les données de la valeur trimestrielle et de vérifier la correspondance des dates de fin de trimestres pour chaque IR donné à savoir le nombre de clients par conseiller à la clientèle entreprises, le nombre de clients par conseiller clientèle professionnels, le nombre de clients par conseiller clientèles particuliers, le suivi des comptes dormants, les performances atypiques des chargés à la clientèle.

Ensuite, vérifier si le seuil n'est pas atteint. Dans le cas ou, les données de la valeur De l'IR dépasse le seuil, cela nécessite de mettre un plan d'action pour corriger les faiblesses.

Il s'agit de d'additionner toutes les valeurs sur le nombre total des agences pour trouver le total de valeur pour chaque IR

AGENCES	ANOMALIES
A	* IR c_c : Conformité entre dernier valeur et donnes valeur trimestriels. Pas de correspondance entre les dates (30/10/2015 _30/092015) * IR_A2_1 : Donnée IR trimestrielle non renseigné
B	* IR a_a Incohérence au niveau des dates IR_b_b Incohérence au niveau des dates IR c_c: Dernière valeur et date non actualisée IR_A2_1: Aucun renseignement IR Z1: Aucun renseignement * IR_A2: Mal renseigné * IR_A2_1: La date et la dernière valeur ne sont pas cohérent avec les données trimestrielles
C	* IR_a1 : Aucun renseignement IR_a2 : Aucun renseignement
D	* IR c_c : date de valeur ne correspond pas au donnée trimestrielle (valeur IR) également pour la date (30/09/15 et 30/06/15) * IR a_a : Aucun renseignement * IR b_b : Aucun renseignement
E	* IR_A2: Incohérence entre la dernière valeur et les données de la valeur de l'IR, de même que la date
F	* IR c_c : Mal renseigné (dernière valeur et donnée trimestrielle ne sont pas conformes) de même que la date (31/03/2015 et 30/09/15) * IR z1 : Aucun renseignement * IR_A2_1 : Pas de renseignement au niveau de la dernière valeur et de la date
G	* IR z1 : Aucun renseignement
H	* IR_a_a: Les données trimestrielles n'ont renseignées * IR Z1: Aucun renseignement * IR_A2_1: Incohérence de la dernière valeur avec les données trimestrielles
I	* IR c_c : Absence de plan d'action * IR_A2 : donnée de la valeur de l'IR dépasse le seuil (Pas de plan d'action) * IR z2 : Absence de plan d'action
J	* IR Z1 : Aucun renseignement * IR_A2_1 : Cohérent mais absence de pourcentage

NB : Pour des raisons de secret professionnel, j'ai décidé de renommer les IR autrement et classifier les noms des agences par lettre alphabet.

2. Mise en place d'un plan de continuité d'activité

- Protéger son personnel, ses actifs et donc son groupe et continuer à délivrer à ses clients un service de qualité

L'objectif étant de Minimiser autant que possible les impacts d'éventuels sinistres sur les clients, le personnel et donc le groupe.

En effet, il y'a plusieurs phases à suivre pour mettre en place un plan de continuité d'activité. Cependant, nous essayerons juste d'expliciter la première phase qui est subdivisée en trois étapes pour décrire un plan de reprise pour les activités à secourir

L'objectif étant de Minimiser autant que possible les impacts d'éventuels sinistres sur les clients, le personnel et donc le groupe.

Celle-ci varie selon leur nature et la périodicité. Elles peuvent être quotidiennes par exemple la clôture de fin de journée, mensuelles à l'instar des versements de paies aux salariés, client etc., trimestrielles, annuelles et ponctuelles comme l'acquisition d'une filiale.

C'est la démarche utilisée pour suivre l'évolution des sinistres. Tout responsable opérationnel est responsable de son périmètre.

L'analyse de ses impacts s'effectue selon une grille d'analyse avec les catégories d'impacts, des marques d'impacts etc.

C'est le niveau de l'impact d'une activé pour voir si le niveau de l'arrêt est vital c'est à dire que si l'arrêt est inacceptable et quelles en seront les conséquences, secondaire voir non prioritaire.

Apres cela, il est nécessaire de définir une stratégie de continuité d'activité en sélectionnant les activités à reprendre, en définissant les objectifs à atteindre, et l'expression des besoins liées au besoin. Pour faire face à d'éventuels arrêts d'activités, la banque a mis en place un site de replis pour sauvegarder ces données ainsi continué de satisfaire les exigences de sa clientèle face à un quelconque sinistre.

En outre, dans le cadre de la continuité d'activité, j'ai eu à remplir une procédure de l'activation de l'annuaire PCA en cas de rotation du personnel pour chaque agence et cela pour un réseau donné (Nord/Sud).Cette procédure concerne tous le personnel exerçant au sein de la Société Générale Mauritanie.

Conclusion

Le risque opérationnel représente un enjeu auquel l'ensemble des acteurs bancaires doivent prendre en considération notamment dans le pays comme la Mauritanie, qui a fait l'adoption de plusieurs programmes fondés émanent de la BCM.

Par ailleurs, pour qu'un contrôle soit performant, il faut l'appropriation de l'ensemble des procédures du contrôle de la surveillance permanente afin qu'il soit compris par le personnel tout entier.

Chacune de ces taches, utiles au service et au bon fonctionnement de l'activité du risque opérationnel de la SGM, se sont inscrites dans la stratégie de celle-ci et plus précisément celle su service CP.

Conclusion générale

Quoi qu'il en soit, un risque opérationnel mal apprécié peut entraîner des conséquences gravement préjudiciables pour toute institution financière. Les effets de la globalisation, de l'instabilité climatique, de la montée du terrorisme, de la crise financière, de la multiplication des nouvelles technologies ont provoqué un accroissement relatif du risque opérationnel.

Une fois qu'il est spécifié dans ses grandes lignes, un modèle de mesure, indépendamment de sa forme et de son degré de technicité, doit impérativement s'ancrer dans un système intégré de gestion du risque opérationnel. Cela permet de se sentir confortable sur deux points. Au fur et à mesure du développement du modèle de mesure, on est assuré que les différentes hypothèses, modifications et aménagements divers sont envisagés en cohérence avec la ligne directrice fixée par le Risk management. Et c'est aussi une garantie que ces ajustements successifs s'alignent sur les processus de gestion déjà en place dans l'institution.

La réforme de Bâle II contraint les institutions bancaires européennes à mieux comprendre, quantifier et maîtriser le risque opérationnel. Il est clair cependant, qu'il n'existe pas, et qu'il n'existera probablement jamais, de solution «clés en main» face à ce type de risque. Simplement, il est indéniable qu'en actionnant une infrastructure de support et en réduisant leur temps de réaction, les banques font un premier pas de géant vers une stratégie globale plus performante.

Références bibliographiques

[1]. Analyse et impact du risque opérationnel dans le secteur bancaire (2009). Mourad, A. (2011).

[2]. La gestion des risques pour les systèmes d'information. Mayer N & Humbert J.P (2006)

[4]. La réévaluation du risque de solvabilité et de liquidité : le point de vue du superviseur. Revue d'économie financière, 117-128. Nouy, D. (2011).

[5]. La théorie du système général: Théorie de la modélisation. Jean louis le moigne-a emcx. Le Moigne, J. L. (1994).

[7]. Les développements récents de la mesure du risque opérationnel, Frantz Maurer

[8]. Basel Committee on Banking Supervision, Working Paper on the Regulatory Treatment of Operational Risk, September 2001.

[9]. Basel Committee on Banking Supervision, the New Basel Capital Accord - Third Consultative Paper, April 2003.

[10]. Principes fondamentaux pour un contrôle bancaire efficace. Par Comité de bale sur le contrôle bancaire, septembre 2012

[1]. Les métiers du risque et du contrôle dans la banque. Dan Chelly & Stéphane Sébéloué (Mars 2014)

[2] .Libération : La faillite de la banque d'affaires britannique Baring Brothers menace les marchés financiers ; Par Renaud de LA BAUME 27 février 1995

[3]. Le Parisien : 1988-2008 : les dix plus grands scandales financiers

[1]. Conception d'une cartographie des risques opérationnels liés à la gestion des stocks : cas du magasin central de l'ASECNA Dakar (Sénégal). Saidou Dominique Yoda 2009

[2]. Gestion des risques bancaires : Définition, mesures, gestion, déterminants et impacts sur la performance. Par Med Slilm Ben Mahfoudh Maalej Bilel, 2007

[3]. Contribution du contrôle interne à la gestion des risques opérationnels d'une banque : Cas de la CBC. Par Daris Nasere Nanseu, 2011

[4]. Le contrôle interne, un outil de sécurisation des opérations bancaires. Par Gerard Edon, 2008

[5].Le dispositif de maitrise des risques & le contrôle interne au sein des établissements de crédit. Par Hicham Zmarrou, thèse professionnelle 2005-2006

Table des matières

Introduction générale......................................................................................1

Chapitre I : Concept de contrôle interne et du risque opérationnel...........................5

Introduction................................................................................................6

Section 1 : Notion de contrôle interne : Historique, définitions, principes fondamentaux et enjeux .......................................................................................................7

A. Historique, définition, et principes fondamentaux............................................7

1. Historique et définitions..........................................................................7

2. Principes fondamentaux ........................................................................10

B. Les enjeux du contrôle interne.................................................................12

1. Le contrôle interne comme outil de fiabilité de l'information............................12

2. Le contrôle interne comme outil de respect des lois, règlements et contrats............14

3. Le contrôle interne comme outil de fonctionnement des processus internes............15

Section 2 : Risque opérationnel dans le secteur bancaire...........................................15

A. Le management du risque................................................... ..................15

1. La notion du risque bancaire...................................................................15

2. Typologie des risques bancaires...............................................................16

B. Composantes et différentes formes du risque opérationnel................................18

1. Composantes du risque opérationnel.........................................................18

2. Les différentes formes du risque opérationnel...............................................19

3. Conséquences et exemples du risque opérationnel..........................................20

Conclusion................................................................................................23

Chapitre II : Contraintes au contrôle interne dans la maitrise du risque opérationnel...24

Introduction................................................................................................25

Section 1 : Présentation du cadre opérationnel du marché bancaire.................................25

A. Les déficiences au contrôle interne............................................................25

1. Les limites du contrôle interne.................................................................25

2. Les limites de la règlementation baloise......................................................28

3. Une réponse à ces limites.......................................................................28

Section 2 : La difficile prise en compte du risque opérationnel à tous les niveaux de la banque......................................................................................................31

B. Evolution organisationnelle des banques par rapport au risque opérationnel............31

1. Les lignes métiers et les opérationnels........................................................32

2. Les métiers transversaux face aux risques opérationnels...................................33

3. La conception d'un modèle de mesure du risque opérationnel............................33

4. Suggestions pour une meilleure maitrise du risque opérationnel..........................37

Conclusion............................................................................................37

Chapitre III : Environnement de la banque Société Générale Mauritanie, prise de connaissance et diagnostic du système de contrôle...............................................38

Historique du Groupe Société Générale...............................................................39

Introduction............................................................................................. ..43

Section 1 : Présentation du back office : Contrôle de la Surveillance Permanente..............43

A. Contrôle de la Surveillance Permanente......................................................43

1. Définition.........................................................................................43

2. Description du Contrôle de la Surveillance Permanente...................................44

Section 2 : Rôles et missions du CSP..................................................................44

3. Rôles...................................................................................................44

4. Calendrier de missions..............................................................................45

a. Phase de préparation :..........................................................................46

b. Mission de vérification........................................................................46

c. Phase de rédaction et synthèse................................................................47

d. Phase de restitution ............................................................................47

5. Acteurs de la surveillance permanente............................................................47

Section 3 : Dispositif de la surveillance permanente................................................48

6. Exemple de procédure...............................................................................48

Section 4 : Les autres services du contrôle permanent..............................................52

B. Structure organisationnelle.....................................................................52

1. Lutte anti blanchiment & le financement du terrorisme (lab_ ft)........................52

2. Le service juridique et conformité ................................................................53

Section 5 : Risque opérationnel........................................................................55

3. Définition..............................................................................................55

4. Mise en place d'un plan de continuité d'activité................................................59

Conclusion.................................................................................................59

Conclusion générale.....................................................................................61

Figure 1.......................................................................................9

Figure 2.......................................................................................30

Figure 3.......................................................................................30

Figure 4.......................................................................................36

Figure 5.......................................................................................49

Tableau 1......................................................................................51

Tableau 2......................................................................................58

Références bibliographiques...............................................................63

* ¹Comité de la Règlementation Bancaire et Financière est une institution fixant des prescriptions au secteur bancaire en suivant les orientations définies par le gouvernement. Ce comité fixe notamment les normes en matière de prudence, ou encore organise le marché interbancaire.

* ²Le 14^e principe (gouvernance d'entreprise) de contrôle bancaire fait partie des principes fondamentaux pour un contrôle interne efficace établit par le comité de bale sur le contrôle bancaire lequel est un forum ou sont traités de manière régulière (quatre fois par an) les sujets relatifs à la supervision bancaire.

* ³ Enron, groupe d'énergie texan a créé 3000 sociétés offshore pour dissimuler ses pertes, contrôler le prix de l'énergie.

* ⁴ Vivendi est une multinationale française spécialisée dans la communication et le divertissement.

* ⁶ Sarbanes-Oxley est une loi visant à protéger les investisseurs en améliorant l'exactitude et la fiabilité des publications des entreprises conformément aux lois sur les valeurs mobilières, ainsi qu'à d'autres fins apparentées

* ⁷Le Comité de Bâle sur le contrôle bancaire se compose de représentants des autorités de contrôle bancaire et des banques centrales de pays suivants : Afrique du Sud, Allemagne, Arabie saoudite, Argentine, Australie, Belgique, Brésil, Canada, Chine, Corée, Espagne, États-Unis, France, Hong-Kong RAS, Inde, Indonésie, Italie, Japon, Luxembourg, Mexique, Pays-Bas, Royaume-Uni, Russie, Singapour, Suède, Suisse et Turquie.

* 8 L'Autorité des Marchés Financiers (AMF) est une autorité publique française indépendante créée en 2003, dotée de la personnalité morale et disposant d'une autonomie financière, qui a pour missions de veiller à la protection de l'épargne investie dans les instruments financiers, à l'information des investisseurs, au bon fonctionnement des marchés d'instruments financiers.

* ⁹ Description et planification des missions d'audit sur une période variant selon l'établissement bancaire

* ¹⁰ Le règlement 97-02 est relatif au système de contrôle interne des établissements de crédit.

* ¹¹ Arbitrage : C'est une opération financière assurant un gain positif ou nul de manière certaine. Il s'agit de profiter d'inefficiences temporaires de prix entre différents titres ou contrats.

* ¹²La surveillance des risques et des limites est une composante essentielle du management des risques, elle est dévolue aux contrôles de premier et de deuxième niveau.

* ¹³ Mais son périmètre de compétence s'étend à tous les risques, et plus particulièrement aux risques opérationnels.

* ¹⁴A ce propos, il n'est jamais inutile de rappeler qu'un modèle n'est rien d'autre qu'une représentation simplifiée de la réalité, autrement dit du risque véritable encouru. Par conséquent, il ne faut jamais perdre de vue qu'un modèle de mesure ne produit qu'une estimation du risque réel, et rien de plus.

* ¹⁵Les quants ou analystes quantitatifs sont des matheux qui font des "maths durs" afin de développer de nouveaux modèles de pricing (tarification), de mesure des risques...