WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

Le risque opérationnel au sein des Banques:Quelle stratégie pour une meilleure maitrise?

( Télécharger le fichier original )
par sénoussi EPAYE
ESG Business School Paris - ESGF 2009
  

Disponible en mode multipage

Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy

Le risque opérationnel au

sein des banques :

Quelle stratégie pour une

meilleure maîtrise ?

Mémoire de recherche appliquée dirigé par monsieur Christian Marty Promotion RGF 2009

Présenté par : Sénoussi EPAYE

Avant-propos

Cette année de formation nous a permis d'acquérir de solides connaissances en Finance Corporate. Néanmoins, un mémoire de recherche appliqué orientée vers la finance de marché a constitué pour nous une excellente opportunité, tant pour l'élargissement de notre champ de connaissances, que pour l'apprentissage qu'il assure en terme de méthodologie.

Au regard des récents bouleversements qu'a connu la sphère financière, nous avons estimé qu'il serait judicieux de réaliser un dossier sur le risque opérationnel dans les banques. En pleine crise morale et structurelle, la maîtrise de ce "nouveau risque " constitue indéniablement un des enjeux majeurs pour l'avenir des institutions bancaires.

Au-delà du travail de recherche, de collecte et d'investigation qu'impose la rédaction de ce mémoire, nous avons partagé avant tout une aventure humaine, avec tout ce qu'elle peut contenir de désaccords, mésententes, contradictions et moments de satisfaction. Une expérience très enrichissante.

Nous vous souhaitons une bonne lecture.

Sénoussi Epaye

« Plus faible sont les risque, meilleur est l'entreprise ».

[Sophocle]

SOMMAIRE

Introduction 4

1. Le Risk management 5

1.1. La notion de risque bancaire 5

1.2. Typologie des risques bancaires 6

1.2.1. Le risque crédit 6

1.2.2. Le risque de Marché 9

1.2.3. Le risque opérationnel 10

2. Contexte réglementaire 12

2.1. Réglementation prudentielle Bale II - La mesure des fonds propres 12

2.2. Le rôle des fonds propres dans la prévention des faillites bancaires 13

2.3. Pilier 1 - Exigences quantitatives : règles sur les fonds propres, provisions, risques 15

2.4. Pilier 2 : le rôle du superviseur 16

2.5. Le pilier 3 : la communication financière 18

3. De la nécessité de maîtriser le risque opérationnel 19

3.1. Le risque opérationnel : définition et enjeux 19

3.2. Mapping des 8 lignes d'activité du risque opérationnel 20

3.3. Mapping des pertes opérationnelles 21

4. La mesure du risque opérationnel dans les activités bancaires 24

4.1. Le capital réglementaire pour le risque opérationnel 24

4.2. L'approche indicateur de base 24

4.3. L'approche standard 25

4.4. Les approches en mesures avancées 26

4.4.1. Scorecard approach 28

4.4.2. Mesure interne (Internal Measurement approach) 28

4.4.3. Approche par distribution de pertes (LDA : Loss distribution approach) 29

5. Implémentation d'une stratégie de gestion du risque opérationnel 30

5.1. Intégrer une infrastructure de support dans la banque 31

5.1.1. Définir l'architecture SI 31

5.1.2. Le module IDB (Incident Data Base) 32

5.1.3. Gestion des données 33

5.1.4. Gestion des incidents informatiques 33

5.1.5 Les outils de gestion des incidents 37

5.1.6. Les acteurs de processus : 38

5.2. Augmenter la réactivité de la banque 40

5.2.1. Vérification de l'efficacité globale de la gestion des risques 40

5.2.2. Organisation du reporting 41

5.2.3. Les tableaux de bord 42

5.2.4. L'organisation du help desk 45

Conclusion 46

Bibliographie 47

Introduction

Quel est le point commun entre une épidémie de grippe A, un ponzi qui s'élève à 50 milliard de dollars, un piratage de données, une erreur de saisie, une catastrophe naturelle ou encore une fraude engageant des pertes de trading de plus de 5 milliard d'euros ?

Tous ces événements - vous l'aurez compris - non-exhaustifs, font partie de ce que l'on appelle le risque opérationnel. La prise en compte du risque opérationnel est l'une des grandes nouveautés de la réglementation Bâle II. Ce risque vient des pertes directes et indirectes pouvant résulter de carences ou de défaillances attribuables à des procédures, à des personnels, à des systèmes internes ou à des événements extérieurs.

La définition du risque opérationnel est une gageure. Ce risque présente un caractère atypique dans la mesure où il concerne l'ensemble des activités de la banque. Il est par ailleurs souvent difficile de l'estimer indépendamment des autres risques qui caractérise l'activité bancaire. Le risque opérationnel peut ainsi affecter le risque de marché si la couverture, calculée sur un horizon de 10 jours lors de l'estimation du risque de marché d'un portefeuille, aurait en fait dû porter sur 15 jours en raison d'un dysfonctionnement du service financier. Le trader de la Société Générale qui a pris pour 50 milliards € d'exposition en risque de marché sans autorisation a-t-il pris un risque de marché ou est-ce un risque opérationnel pour la banque ? Ce sont plusieurs opérations d'achat sur lesquelles les contrôles ont été inopérants qui ont induits les pertes. Mais c'est une pratique frauduleuse d'un employé qui est la cause de ces pertes. Le risque opérationnel peut être difficile à appréhender notamment à cause de l'enchainement en cascade de plusieurs risques opérationnels distincts : combien peut couter un blanchiment d'argent suivi d'une mise en examen d'un directeur d'agence bancaire ? Du fait de cette complexité, la réglementation propose une typologie des sources de risque opérationnel, que nous étudierons dans ce dossier après avoir défini les différents types de risques bancaires ainsi que le contexte réglementaire encadrant ce domaine d'intervention.

La mesure des fonds propres réglementaires pour couvrir le risque opérationnel est un défi important qui nécessite tout d'abord une collecte de données. Celles-ci sont souvent inexistantes, incomplètes, redondantes. De multiples erreurs et systèmes d'informations sont susceptibles d'occasionner des pertes. Il est très difficile de cerner le montant, la fréquence et les facteurs-clés à l'origine du risque. Les banques sont néanmoins en train de mettre en place des procédures de collectes de données et des approches formalisées en la matière. C'est ce que nous tenterons de décrypter.

1. Le Risk management

Le pilotage bancaire repose sur une estimation exhaustive des risques, qui nécessite de recourir à des modèles de plus en plus complexes et sophistiqués. Dans ce contexte, l'activité de Risk management devient un véritable pôle stratégique au sein de l'organisation bancaire. Au sein des banques, les risques ont toujours fait l'objet d'une attention particulière. La nouveauté dans ce domaine réside dans la détermination et l'obligation d'une gestion plus active des risques. Ces objectifs modifient radicalement les dispositifs traditionnels de suivi des risques de plusieurs manières : une meilleure définition des différentes dimensions des risques bancaires, l'apparition d'une gestion quantitative et planifiée de ces risques, un pilotage plus actif des risques, des mesures plus précises, des outils et des dispositifs nouveaux. Bref, il s'agit de mettre en place une gestion calculée des risques dans le but de faciliter et d'améliorer l'efficience dans la prise de risque. Le risque n'est plus un élément intangible dont l'appréciation est essentiellement qualitative. Il devient un objet spécifique, mesurable et quantifiable, et un facteur de performance. La gestion des risques n'est autre que l'ensemble des outils, des techniques et des dispositifs organisationnels nécessaires pour y parvenir. Elle n'est nullement figée mais, au contraire, en évolution constante.

1.1. La notion de risque bancaire

Les risques bancaires sont multiples et multidimensionnels. Il faut les classifier et les définir le mieux possible en vue de les mesurer et de les maîtriser.

- Le risque lié aux mouvements des marchés est spécifiquement financier.

- Le risque de crédit, considéré comme commercial, est celui qui provoque des pertes en cas de défaut des contreparties.

- Le risque opérationnel, désigne le risque de dysfonctionnement, de défaillances attribuables à des procédures, à des personnels, à des systèmes internes où à des événements extérieurs.

- Les autres risques que l'on ne peut catégoriser.

Pour plus de compréhension, nous détaillons ces trois types de risque dans une partie dédiée.

1.2. Typologie des risques bancaires 1.2.1. Le risque crédit

Le risque de crédit se définit par comme "par la perte potentielle supportée par un prêteur suite à une modification de la qualité du crédit de l'une de ces contreparties sur un horizon donné". On peut spécifier trois composantes du risque de crédit : le risque de défaut, le risque de dégradation de la qualité du crédit, le risque de recouvrement. Le risque de défaut correspond à l'incapacité ou au refus de la contrepartie d'assurer le paiement de ses échéances. Le risque de dégradation de la qualité du crédit résulte de la perte de fiabilité du débiteur. Le risque de recouvrement correspond à l'incertitude liée au taux de recouvrement postérieur à un défaut constaté. Toute dégradation du crédit entraîne une diminution de la valeur de la créance ou du prêt, une baisse de la notation du débiteur et une hausse des spreads exigés sur la dette.

L'évaluation du risque crédit vise à apprécier la perte probable attendue d'un portefeuille de crédit sur un horizon donné, cette perte devant être couverte par une provision. La perte effective pouvant être plus élevée que la perte attendue, l'évaluation du risque de crédit vise également à apprécier la perte inattendue, celle-ci devant être couverte par les fonds propres. La perte attendue en cas de défaut (EL - expected loss) correspond au montant exposé au défaut (EAD - exposure at default) affecté de la probabilité de défaut (PD -probability of défault) et du taux de perte en cas de défaut (LGD - loss given défault) :

EL = EAD x PC x LGD

La perte étant aléatoire, il convient d'estimer non seulement la perte moyenne attendue (Expected loss), mais aussi la distribution de cette perte. Cette distribution permet de déterminer la perte inattendue (UL - unexpected loss) qui doit être couverte par les fonds propres. A titre d'illustration, si on considère un prêt unique avec une loi biominale du défaut PD et une perte P, la perte attendue et la perte inattendue se calculent aisément puisque l'espérance de la perte s'exprime :

EL = E(P) = P x PD + 0 x (1-PD) = P x PD

L'évaluation du risque de crédit repose sur des modèles ad hoc dont la construction comprend 2 phases. La première consiste en une collecte d'informations sur les éléments constitutifs du risque de chaque crédit individuel. Il s'agit de ranger les crédits en classes de risque et de déterminer les probabilités de défaut, le montant des expositions et les pertes en cas de défaut de chaque classe. La seconde phase consiste à modéliser l'incertitude des pertes et à agréger les expositions individuelles pour décrire le risque de portefeuille dans son ensemble. IL convient alors de tenir compte des corrélations entre les risques des différents crédits.

L'évaluation du risque individuel de crédit

La construction du premier étage d'un modèle de risque crédit comprend trois étape. La première est consacrée à l'affectation des positions individuelles dans un ensemble de classes de risque définies par le système de notation interne de l'institution financière. En pratique la plupart des grandes banques disposent de systèmes de notation des emprunteurs : des systèmes de scoring pour les divers types de clients de l'activité de détail (particuliers et professionnels), des systèmes experts de diagnostic financier pour les entreprises. Les banques peuvent aussi recourir aux notes fournies par les agences de notation ou par d'autres fournisseurs d'informations financières. Ces systèmes de notation permettent de classer les crédits en fonction de leur risque individuel de défaut. La seconde étape consiste à mesurer la probabilité que le crédit migre vers une autre classe de risque. Cette étape est cruciale puisque la classification interne des crédits et les probabilités de défaut et de transition retenues à ce stade déterminent très largement la forme de la fonction de densité des pertes et donc la dispersion des pertes potentielles sur le portefeuille ainsi que la VaR. Cette étape nécessite aussi de mesurer la valeur de l'exposition, autrement dit la valeur de chaque crédit, dans les divers états possibles, c'est-à-dire en fonction de son appartenance aux différentes classes de risque. La troisième étape consiste à déterminer le taux de perte en cas de défaut. Celui-ci dépend du taux de récupération ou du recouvrement en cas de défaut, qui dépend lui-même de la nature du crédit, de sa maturité et des garanties qui lui sont associées

La probabilité de défaut (PD)

Le risque de crédit, c'est d'abord le risque que la valeur d'un prêt fluctue en raison d'événements qui affectent la qualité de l'emprunteur et sa capacité de remboursement. Son estimation repose sur les probabilités de défaut des crédits si on considère un modèle de défaut, ou sur les probabilités de changement de note ou de grade si on considère un modèle en valeur de marché. Pour estimer ces probabilités, on range d'abord les crédits en classes de risque en utilisant un système de notation. On mesure ensuite le risque de transition d'un emprunteur d'une classe de risque vers une autre. Il est souhaitable que les probabilités de transition soient ajustées pour tenir compte des caractéristiques des emprunteurs et des conditions générales de l'économie. Il est tout aussi souhaitable de conditionner l'estimation des matrices de transition au secteur d'activité et à la taille de l'entreprise si les données disponibles sont insuffisantes. Cela revient à utiliser des probabilités de transition différentes pour des entreprises de dimensions différentes appartenant à des secteurs différents.

L'exposition en cas de défaut (EAD)

Dans le cas des risques classiques, l'exposition aux pertes correspond au montant actualisé
total des flux contractuels encore dus. Il convient alors d'ajuster l'exposition au cours du temps

selon les modalités de remboursement ou d'amortissement du prêt ou de la créance. En cas de garantie hypothécaire, l'exposition varie dans le temps puisque la dette diminue alors que la valeur de la garantie (bien immobilier par exemple) est aléatoire.

L'évaluation du risque de crédit sur un portefeuille

La seconde étape de construction d'un modèle de risque de crédit consiste à modéliser l'incertitude des pertes futures sur l'horizon temporel choisi, non pour un crédit particulier mais pour un portefeuille de crédits. Cette étape permet de construire la fonction de densité de pertes futures et d'estimer la VaR et les fonds propres nécessaires pour couvrir l'exposition au risque. Les résultats obtenus lors de cette étape permettent aussi de mettre en oeuvre une politique cohérente d'allocation des fonds propres et de tarification des crédits. Connaissant les probabilités de défauts ou de transition et la valeur de chaque position individuelle en cas de changement de classe, y compris en cas défaut, la construction de la fonction de densité de pertes futures nécessite d'agréer les positions individuelles pour déterminer leur risque à l'intérieur du portefeuille, qui diffère naturellement de leur risque individuel. Dans une approche de portefeuille, il importe en effet de tenir compte des corrélations entre les pertes et les expositions individuelles. Sur un horizon donné (un an dans la plupart des modèles), toutes les variables qui conditionnent le montant des pertes peuvent varier. C'est le cas, par exemple, de l'exposition en cas de défaut (EAD) si le crédit considéré est couvert par un titre obligataire dont la valeur de marché fluctue en raison de l'évolution des taux d'intérêt. C'est aussi le cas de la perte en cas de défaut LGD si les conditions macroéconomiques affectent la capacité des prêteurs à actionner les garanties. Mais ce qui détermine l'incertitude ou la volatilité des pertes futures, c'est d'abord la variabilité de la qualité de l'emprunteur. En d'autres termes, la probabilité de défaut PD doit elle-même être considérée comme une variable aléatoire. A l'horizon d'un an, un emprunteur peut changer de notation ou de classe de risque. C'est pourquoi la modélisation de la probabilité de défaut constitue l'élément essentiel d'un modèle de risque de crédit.

Tous les modèles d'estimation du risque de crédit supposent que la probabilité de défaut soit soumise à l'influence de facteurs de risque propres à chaque emprunteur et à l'influence de facteurs communs à tous les emprunteurs. Ces derniers sont des facteurs sectoriels, une crise dans un secteur d'activité affecte tous les emprunteurs de ce crédit par exemple ; des facteurs de localisation géographique, une crise régionale affecte tous les emprunteurs de cette région ; des facteurs macroéconomiques, comme les taux d'intérêts ou le taux de croissance du PIB. La variance de la probabilité de défaut est donc déterminée par l'évolution de ces facteurs de risque. À titre d'illustration, la récente récession tend à accroître la probabilité de défaut, alors que celle-ci diminue en période d'expansion. C'est la raison pour laquelle les probabilités de défaut ou les transitions entre les classes de risque ne sont pas stables dans le temps. Il est

donc nécessaire de s'appuyer sur un modèle théorique, qui associe les changements de probabilités de défaut aux facteurs de risque, pour reproduire la dynamique des défauts entre classes. En somme, construire la fonction de densité des pertes sur un portefeuille de crédit consiste principalement à modéliser la relation entre les événements de crédit et les facteurs de risques. Il faut également considérer le fait que si tous les crédits composants un portefeuille sont soumis de manière identique aux même facteurs de risques - parce que le portefeuille est insuffisamment diversifié - le montant des pertes effectives non attendues sera naturellement plus important que si le portefeuille de crédits est mieux diversifié.

1.2.2. Le risque de Marché

Le risque de marché représente le risque de variation du prix d'une grandeur économique constatée sur un marché, se traduisant par une perte ou comme le risque financier dû à l'incertitude quant à la valeur future d'un portefeuille d'avoirs ou de dettes. On distingue généralement trois catégories de risques de marché : le risque de taux d'intérêt, le risque de change, le risque de variation de cours.

Le risque de taux d'intérêt

Le risque de taux d'intérêt fait courir au à la banque l'évolution ultérieure des taux d'intérêt. Le risque de taux recouvre deux éléments : un risque général qui est lié à l'évolution des taux d'intérêt et un risque spécifique qui représente le risque lié à l'appréciation par le marché de l'émetteur de l'instrument. Deux principales méthodes d'évaluation peuvent être retenues pour le risque général. La première est fondée sur un échéancier détaillé où les titres sont ventilés et pondérés selon leur durée restant à courir, puis multipliés par un coefficient qui représente la variation de taux. La deuxième méthode se fonde sur la duration exacte de chaque titre. Les positions pondérées font ensuite l'objet d'exigences en fonds propres. Le risque spécifique vise à tenir compte du risque de contrepartie lié à l'émetteur de l'instrument, qu'il faut distinguer du risque lié à la contrepartie de la transaction. Les positions nettes sur chaque titre sont alors affectées de pondérations qui reflètent la qualité de l'émetteur.

Le risque de change

Le risque de change touche les créances et dettes libellées en devises, et réside dans le risque de variation du prix des devises par rapport à la monnaie nationale. Contrairement au risque de taux et de cours, le calcul de la position de change ne se limite pas au portefeuille de négociation mais englobe d'autres opérations enregistrées au bilan ou hors bilan.

L'analyse du risque de change nécessite de déterminer le montant des positions détenues pour chaque devise, puis de mesurer la position de change globale par addition, en appliquant les pondérations forfaitaires exprimant les corrélations entre devises.

Le risque de variation de cours

Le risque de variations de cours est un risque de prix sur la position détenue sur un actif financier déterminé. Le risque de position sur actions résulte d'une détérioration de la situation de l'émetteur (risque de crédit classique) ou d'une dégradation du marché des actions. On distingue donc un risque de contrepartie (risque spécifique) et un risque général de marché.

Le premier type de risque étant spécifique à chaque action, il n'y a pas de compensation possible au sein du portefeuille. Ce risque est mesuré par l'addition des positions brutes sur chaque ligne d'actions. Le risque général est le reflet d'un mouvement général du marché, donc les conséquences négatives sur une position longue peuvent s'annuler avec les conséquences positives sur les positions courtes. Ce risque est donc calculé à partir de la somme algébrique des positions nettes après compensation des positions. Le risque de position sur actions est alors obtenu par l'agrégation de la somme des positions brutes et nettes, affectées d'un coefficient forfaitaire. Ces risques sont particulièrement difficiles à apprécier de manière externe pour deux raisons principales : Contrairement au risque crédit, la prise de risque et sa concrétisation dans les comptes peuvent être extrêmement rapides, rendant vite obsolète les analyses réalisées à une date donnée. Ces risques ne sont pas toujours facilement identifiables par un observateur externe car les informations publiées sont souvent rares et presque toujours incomplètes. De plus, l'enregistrement comptable de la majorité de ces opérations, le plus souvent en hors bilan, se prête difficilement à une interprétation en termes de risques.

1.2.3. Le risque opérationnel

Ce risque vient des pertes directes ou indirectes pouvant résulter de carences ou de défaillances attribuables à des procédures, à des personnels, à des systèmes internes où à des événements extérieurs. Cette définition inclut le risque juridique, mais ne comprend pas expressément les risques stratégiques et le risque de réputation, ces risques étant encore mal appréhendés. Les banques peuvent recourir à trois approches, que nous exposerons plus loin, pour évaluer le risque opérationnel : l'approche indicateurs de base (Basic : BL), l'approche standardisée (standardized apprach : SA) et l'approche en mesures avancées (Advanced measurement approch : AMA).

Le risque opérationnel est traité, à juste titre, comme un risque profondément différent du risque de marché ou de crédit. De fait, ce risque a la particularité d'être plus difficile à modéliser mais plus simple à réduire. Plus simple à réduire car un processus de gestion adéquat, amélioré en permanence, peut contribuer à le diminuer en réduisant les facteurs internes de risque. Plus difficile à modéliser car l'historique des pertes de la banque en la matière ne peut suffire à prévoir les pertes futures. Ceci est principalement dû à deux phénomènes. Le premier vient de la rareté des événements considérés. Ceci nécessite la mutualisation des bases de données. La perte de 5 milliards d'euros par un trader de la société générale, est à cet égard emblématique. Le second phénomène vient de ce que certaines pertes se raréfieront du fait de l'amélioration des processus internes de gestion du risque alors que d'autres seront affectées par des changements d'ampleur ou d'environnement des différentes activités de la banque.

Ce risque est très complexe. Il convient d'intégrer harmonieusement le passé, le présent et le futur. Le passé permet d'observer les défaillances et de modéliser en partie le risque. Mais il doit être complété de scénarios d'experts qui anticipent les risques futurs. Certains risques apparaissent au fil du temps ou s'accroissent en raison de l'instabilité de l'environnement bancaire. Le risque ainsi évalué doit être corrigé. Les risques sont proportionnés à certains indicateurs dont il est possible d'anticiper les évolutions futures. De plus, une amélioration du système de contrôle interne peut affecter ce risque. La détermination du Capital réglementaire, comme nous le verrons, peut tenir compte de tous ces facteurs.

2. Contexte réglementaire

2.1. Réglementation prudentielle Bale II - La mesure des fonds propres

Les banques, même les plus grandes, ne sont pas à l'abri du risque de faillite. De 1976 à 1996, dix défaillances bancaires ont coûtés aux pays développés 4% de leur produit national brut. Durant cette même période, 59 défaillances bancaires ont coûtés 250 milliards de dollars au pays en voie de développement. EN septembre 1998, après la débâcle du fonds LCTM, les 14 plus grandes banques d'affaires au monde ont été contraintes de fournir 3,5 milliards de dollars à ce fonds d'investissement pour éviter une série de faillite qu'aurait entraîné sa défaillance. La crise de 2008 est née d'une débâcle bancaire sans précédent depuis 1929, qui a nécessité ne intervention massive des pouvoirs publics.

Pour limiter leurs risques de faillite, sauvegarder les intérêts des déposants, et garantir la stabilité du système bancaire, les banques ont été depuis fort longtemps soumises à diverses réglementations prudentielles qui reposent sur plusieurs mécanismes, dont le principal consiste généralement à leur imposer des fonds propres minimaux. En 1974, la faillite de la banque privée Herstatt ayant entraîné des pertes considérables pour des milliers de déposants, les pays du G10 élargi ont crée le comité de Bâle. Ce dernier à pour mission d'émettre des recommandations relatives aux pratiques bancaires. C'est ainsi que le comité a instauré en 1988 un ratio de solvabilité, dit ratio Cooke, qui exige que les fonds propres des banques augmentent avec le risque de crédit auquel elles sont exposées. La réglementation de 1988 présente toutefois deux faiblesses majeures. La première vient de ce que seuls les risques de crédit sont pris en compte, aucune exigence de fonds propres étant exigée pour couvrir les risques de marché. La seconde vient de ce que les capitaux propres minimaux sont déterminés par la nature des emprunteurs, et non pas par leurs risques de défauts effectifs.

Publiée en 1996, la directive européenne sur l'adéquation des fonds propres (Capital Adequacy Directive - CAD), qui s'appuie sur les propositions de comité de Bâle, a remédié à la première faiblesse. Elle impose en effet aux banques de l'Union Européenne, un niveau minimal de fonds propres qui tient compte à la fois des risques de crédit et des risques de marchés auxquels elles sont soumises. Le risque de défaut effectif des emprunteurs reste largement ignoré, seul leur statut est pris en compte. Cette limite a conduit le comité de Bâle à proposer dès janvier 2001 un nouveau ratio de solvabilité, dit ratio Mc Donough, prenant en compte un nouveau risque, le risque opérationnel. Après cinq ans de travaux, trois versions mises en consultation auprès de la communauté bancaire internationale et plusieurs études pour mesurer l'impact que leurs décisions pourraient avoir sur les fonds propres réglementaires des banques, les membres du comité de Bâle ont approuvé une nouvelle réglementation en juin 2004 dite

réglementation Bâle II. Le Japon l'a mise en oeuvre dès 2007. Les pays de l'union européenne l'ont imposé en 2008. Elle sera applicable au Etats unis au cours de 2009. Quatre-vingt-deux pays non-membres du comité de Bâle devraient imposer ce dispositif réglementaire dès 2009 et au-delà. La crise de 2008 va très probablement bouleverser ce calendrier, des réformes importantes de la gouvernance bancaire étant attendues.

L'objectif de Bâle II est de réduire les risques de défaillances bancaires non seulement en imposant aux banques de nouvelles exigences en matière de fonds propres (pilier 1), mais également en élargissant les attributions du superviseur national en matière de contrôle des activités bancaires (pilier 2) et en exigeant une plus grande transparence en matière de communication financière (pilier 3).

2.2. Le rôle des fonds propres dans la prévention des faillites bancaires

Les réglementations prudentielles imposant aux banques la détention de capitaux propres minimaux reposent sur l'idée que la banque est en situation de faillite si elle n'est définitivement plus en mesure de faire face à ses engagements notamment parce que, préférant exercer leur clause de responsabilité limitée, les actionnaires refusent de lui apporter les fonds nécessaires à la poursuite des ses activités. Les actionnaires estiment alors que la totalité des encaissements que les actifs sont susceptibles de produire ne permet pas de couvrir la totalité des décaissements associés aux passifs. Il n'est pas rare que les flux attendus des actifs soient insuffisants pour couvrir les engagements de la banque sur un horizon déterminé. Celle-ci trouve alors généralement les moyens de financer cette insuffisance de liquidité ponctuelle sur le marché interbancaire. Si ses besoins sont durables, elle émet des titres de dettes ou des actions nouvelles. La faillite est proche lorsque ces titres ne trouvent pas d'acquéreurs.

Sur le plan formel, se sont les actionnaires qui, en refusant tout financement nouveau, jugent que la faillite est avérée parce que toute la séquence des flux attendus des actifs n'est pas en mesure de couvrir la totalité des séquences des flux de passifs. Une séquence de flux pouvant s'échanger contre la valeur actuelle, il y a faillite si la valeur actuelle des flux produits pas les actifs est inférieure à la valeur actuelle des flux associés aux passifs. La valeur actuelle des flux d'un actif représentant la valeur de cet actif, il y a donc faillite si la valeur des actifs de la banque est inférieure à la valeur de ses passifs. Les capitaux propres économiques correspondent à la différence entre la valeur des actifs et la valeur des passifs, il y a faillite dès que ceux-ci sont négatifs. Dans ce contexte, le ratio de solvabilité de la réglementation Bale II constitue un indicateur de la probabilité de faillite.

L'analyse qui précède suggère que les autorités de surveillance doivent suivre attentivement les fonds propres économiques des banques. Ceci serait relativement aisé si tous les actifs et tous les passifs des banques étaient côtés sur des marchés actifs. Ces autorités disposeraient ainsi en permanence d'une estimation fiable et gratuite, pour autant que les marchés concernés soit efficients, de la valeur des actifs et des passifs bancaires. Dans ce contexte, une comptabilité en valeur de marché produirait une mesure sans biais des fonds propres économiques. La pluparts des actifs et des passifs n'étant pas côtés sur des marchés, il convient de les valoriser par d'autres moyens. Le processus de valorisation mis en oeuvre est long et couteux. Il ne permet pas une estimation continue de la valeur des capitaux propres économiques. La comptabilité produisant un état certifié des actifs et des passifs des banques, au moins une fois par an, c'est sur cet état que s'appuie la réglementation prudentielle. Constatant la valeur des actifs et des passifs de la banque, et par conséquent la valeur de ses fonds propres économiques, à une date donnée, il convient de garantir que la valeur des actifs ne deviendra pas inférieure à la valeur des passifs pour un niveau de probabilité donné d'ici à la date où il sera possible de céder ces actifs.

C'est la philosophie qui préside aux dispositions du pilier 1 de la réglementation Bâle II, notamment celles relatives aux notations en mesures avancées du risque crédit, aux mesures avancées du risque de marché et aux modèles internes du risque opérationnel. Il s'agit à chaque fois de déterminer la perte maximale, et par conséquent la baisse du capital économique, que la banque risque de supporter sur un horizon donné avec une probabilité donnée. L'horizon dépend de l'échéance à laquelle la banque peut céder l'actif et le risque qui lui est attaché. Cet horizon s'élève à un an pour le portefeuille bancaire du fait de sa liquidité. Il s'élève le plus souvent à 10 jours pour le portefeuille de négociation dont les positions peuvent être dénouées rapidement. Le seuil varie en fonction du risque considéré. Il s'élève à 99% pour les risques de crédit et marché, à 99,9% pour le risque opérationnel.

Cette brève analyse du rôle des fonds propres dans la prévention des faillites bancaires suggère deux commentaires.

Le premier concerne les modalités de valorisation des capitaux propres économiques des banques et, par conséquent, les modalités de valorisation de leurs actifs et de leurs passifs. Il s'agit de garantir que la valeur des actifs restera supérieure à la valeur des passifs sur un horizon donné. Ces valeurs devant refléter la valeur actuelle des flux associés aux actifs et passifs, c'est de la valeur marchande dont il s'agit. Puisque que la réglementation prudentielle s'appuie sur la mesure comptable des capitaux propres pour déterminer si la banque est suffisamment capitalisée pour supporter les risques inhérents à ses activités, il est souhaitable que les fonds propres comptables et les fonds propres économiques coïncident. Il est donc préférable que les actifs et passifs de la banque soient, pour autant que cela est possible,

comptabilisés à leur valeur marchande ou à leur juste valeur, pour reprendre la terminologie propres aux normes comptables internationales. En ce sens, le régulateur devrait être un ardant partisan des comptabilités en juste valeur.

Le second commentaire concerne le niveau de fonds propres découlant des dispositions réglementaires. Un moyen simple de réduire considérablement le risque des déposants et le risque systémique consisterait à contraindre les banques à n'être financée que par les fonds propres. Sur le plan théorique, dans un monde aussi idéal que celui dans lequel Modigliani et Miller (1958 - le coût de capital) situe leur démonstration, une telle décision n'est pas aberrante. Le niveau de fonds propre est alors sans effet sur la valeur de la firme. Dans un contexte plus réaliste, il convient de prendre en compte les nombreux facteurs qui influencent la structure financière des banques : l'impôt, le risque de défaillance, les asymétries informationnelles, les coûts de transaction...

La littérature propose plusieurs modèles visant à définir un niveau optimal de fonds propres en intégrant certains facteurs mentionnés précédemment. La réglementation prudentielle des fonds propres ignore leur préconisation. Elle ne vise qu'à protéger les créanciers de la banque, les déposants ou prêteur contre le risque de faillite. Elle impose à ce titre un niveau de fonds propres susceptible de s'écarter sensiblement de l'optimum qui pourrait résulter de la prise en compte des ces facteurs.

2.3. Pilier 1 - Exigences quantitatives : règles sur les fonds propres, provisions, risques

Le pilier 1 de la réglementation Bâle II impose aux banques des capitaux propres minimaux qui tiennent compte à la fois de leur exposition au risque de crédit, au risque de marché et de leur exposition au risque opérationnel. Le risque de crédit correspond au risque de défaillance du débiteur. C'est la forme de risque la plus ancienne sur des transactions financières. Il s'agit aujourd'hui encore de la principale source de risque dans la plupart des banques. Le risque de marché correspond au risque de perte résultant de transactions d'instruments financiers suite à des variations de prix, de cours ou de taux. Ce risque concerne aussi bien les produits de taux d'intérêts (obligations, dérivés de taux), que les actions, les devises ou les matières premières. Le risque opérationnel concerne les pertes directes ou indirectes susceptibles de résulter d'une défaillance des procédures, des personnels ou des systèmes internes des banques. Pour chacun de ces risques, les établissements ont le choix entre différentes méthodes.

2.4. Pilier 2 : le rôle du superviseur

Le second pilier définit les modalités de contrôle des banques que les superviseurs nationaux, tels la commission bancaire en France ou la Commission fédérale des banques en Suisse, doivent mettre en oeuvre. Il reconnaît à chaque autorité de contrôle nationale le droit d'imposer des exigences en fonds propres supérieurs à celles prévues par le premier pilier si un établissement est source d'incertitudes spécifiques. Le montant des fonds propres additionnels exigés pour couvrir ces risques spécifiques résulte alors d'une négociation entre l'autorité de tutelle et la banque concernée. Ce pilier responsabilise en outre très fortement les directions générales des banques en considérant qu'elles doivent directement maîtriser les procédure de calcul et de contrôle des risques mises en oeuvre. Le pilier 2 influence aussi l'organisation de la banque en imposant une séparation nette entre les services opérationnels et les organes de contrôle, d'audit ou d'évaluation des risques.

La réglementation Bâle II offre de réelles latitudes aux banques pour ce qui concerne la détermination du niveau de fonds propres. Elles peuvent fixer elles-mêmes ce niveau à partir de leurs systèmes de mesure des risques. Dans ce contexte, le deuxième pilier de l'accord Bâle vise à accroître l'intensité des contrôles exercés par le superviseur national. En vertu des principes édictés dans ce pilier, celui-ci a pour mission d'apprécier à la fois les processus d'évaluation des fonds propres réglementaires et l'adéquation des fonds propres disponibles. Ce pilier doit en fait encourager les banques à constamment démontrer au régulateur qu'elles sont suffisamment capitalisées et qu'elles ont mis en place des systèmes robustes de mesure et de gestion de leurs risques.

À cette fin, quatre principes sont édictés :

Les banques apprécient elles-mêmes le montant des fonds propres qui leur sont nécessaires. Elles doivent prendre les mesures qui s'imposent si leurs fonds propres effectifs s'avèrent inférieurs à leurs fonds propres réglementairement exigés. Les règles et les principes de gestion et de mesure des risques et les procédures de contrôle interne mises en oeuvre relèvent de la responsabilité de leur direction générale.

Les superviseurs nationaux doivent réviser les processus d'adéquation des fonds

propres de chaque banque et, en ca se lacune, prendre les mesures appropriées.

Les superviseurs nationaux peuvent imposer aux banques les actions préventives qu'ils jugent utiles. La nature de ces actions n'est toutefois pas précisée dans la réglementation, celle-ci étant par nécessité définies au cas pas cas, en fonction de la situation rencontrée.

Les superviseurs nationaux doivent intervenir graduellement en fonction des risques perçus. Si les processus et stratégies internes révèles des lacunes, ils peuvent intensifier leur surveillance. Si la situation se dégrade, ils peuvent exiger le remplacement de ses dirigeants. Ils peuvent aussi imposer des fonds propres supérieurs à ceux qui découlent de l'application des contraintes réglementaires.

Pour bien apprécier la philosophie de la réglementation Bâle II, il est important de souligner que le plier 2 considère qu'il n'y a pas d'approche unique pour apprécier l'adéquation des fonds propres. En ce sens, même s'ils peuvent utilement aider la banque à déterminer les capitaux qui lui sont nécessaires, l'usage de modèles économiques n'est pas pour autant exigé. Les superviseurs nationaux n'ont d'ailleurs pas d'obligation d'instaurer des processus d'agrément de tels modèles. La réglementation insiste au contraire sur le fait que les approches retenues peuvent varier d'une banque à l'autre, leur sophistication devant essentiellement dépendre de l'étendue et de la complexité de leurs activités. Une estimation complète de tous les risques est toutefois exigée, ceux-ci devant systématiquement être tous pris en compte dans la détermination des fonds propres nécessaires. S'il est admis que tous ces risques ne peuvent pas être mesurés avec précision, un processus ad hoc doit néanmoins permettre de les estimer. Ce sont évidemment les grandes banques qui doivent disposer des méthodologies les plus sophistiquées en la matière. S'agissant du risque de crédit, elles doivent disposer d'approches rigoureuses et structurées qui couvrent au moins quatre domaines : les systèmes de notation des risques, l'analyse des portefeuilles de produits dérivés de crédits complexes ou titrisés, les principales expositions et concentration des risques.

Le pilier 2 rappelle que le conseil d'administration et la direction générale de la banque sont directement responsables des processus mis en oeuvre pour satisfaire les exigences de la réglementation Bâle II. Le conseil d'administration fixe les objectifs et les limites en matière de risque. Il s'assure que la direction dispose de systèmes de mesure adéquats des différents risques auxquels la banque est exposée. Il s'assure aussi qu'elle dispose d'un système mettant en relation l'étendue de ces risques et le niveau de ses fonds propres. Il s'assure de la qualité du système de reporting mis en place. Celui-ci doit en permanence rendre compte de l'exposition aux risques et de la façon dont une modification du profil de risque pourrait affecter

les besoins en fonds propres. La banque doit évaluer périodiquement la qualité de ses procédures dans la mesure où ce sont elles qui garantissent l'intégrité et l'exactitude des systèmes de mesure, de gestion des risques et d'adéquation des fonds propres.

2.5. Le pilier 3 : la communication financière

Le troisième pilier repose sur le renforcement de la communication financière afin de favoriser la transparence et de permettre aux marchés de mieux apprécier les risques et la gestion de ces derniers par les établissements. Il impose à cette fin plusieurs exigences en matières de communication financière, l'information divulguée devant être complète, standardisée et facilement disponible. Les objectifs du pilier 3 sont en ce sens très voisins des ceux de la norme comptable IFRS 7 qui impose des contraintes fortes en matière de divulgation relatives aux instruments et risques financiers.

Pour se conformer aux prescriptions du pilier 3 de la réglementation Bâle II. Les banques sont tenues de publier des informations précises sur la mesure de la gestion de leurs risques ainsi que sur l'adéquation de leurs fonds propres. Tout établissement financier doit ainsi divulguer le niveau et les constituants de son ratio de solvabilité. Cette information porte à la fois sur le numérateur et le dénominateur du ratio. Pour ce qui concerne le numérateur, la banque doit indiquer le montant de chacun des composants de ses fonds propres de base et de ses fonds propres complémentaires. Elle doit notamment préciser les déductions apportées à ces fonds propres, le montant des emprunts subordonnés et des bénéfices nets du portefeuille de négociation pris en compte dans la détermination des fonds propres complémentaires. Elle doit en outre explique sa politique de en matière de provisions enregistrées et décrire sa politique de constitution de réserves. Pour ce qui concerne le dénominateur du ratio, elle doit décrire et évaluer son exposition aux différents risques. Elle doit expliquer les modalités de mesure de ces expositions et ses politiques et pratiques en matière de gestion de risques. Une présentation de ses activités métier par métier doit permettre aux investisseurs de mieux comprendre le profil de risque et les procédures de contrôle interne.

3. De la nécessité de maîtriser le risque opérationnel 3.1. Le risque opérationnel : définition et enjeux

Le comité de Bâle exige des banques une mesure et une couverture de leurs risques opérationnels aussi fiables que celles de leurs risques de crédit et de marché, par le développement de meilleurs pratiques et la mise en place d'une exigence de fonds propres.

Selon les recommandations de Bâle II, la notion de « Gestion du risque opérationnel » est en rapport avec le calcul des fonds propres réglementaires. A l'évaluation des risques de marché et de crédit, utilisés par le ratio Cooke pour la détermination des fonds propres obligatoires, le ratio Mc Donough (président du Comité) ajoute le risque opérationnel, pour lequel il faut prévoir une charge en capital spécifique (% en fonds propres). La définition du comité de Bâle précise que ce sont « les risques de pertes directes ou indirectes résultant d'une inadéquation ou d'une défaillance attribuables aux procédures, au facteur humain, au systèmes ou à des causes extérieures ».

Les régulateurs veulent que les établissements bancaires prennent en compte cette notion de risque opérationnel : un établissement pourrait en effet être défaillant pour des raisons non liées au risque de marché ou au risque de crédit. Chaque établissement devra donc communiquer sur ses profils et ses dispositifs de maîtrise du risque, comme nous avons pu le voir précédemment dans une partie consacrée aux contraintes réglementaires.

Pour une banque, il s'agit de minimiser le capital risque réglementaire en identifiant, maîtrisant et contrôlant le risque opérationnel pour les petites pertes fréquentes et pas seulement pour les grosses pertes potentiels. L'objectif est donc de recenser les évènements liés à des pertes réelles ou potentielles, internes ou externes, qui créent des incidents avec des impacts légers ou des fréquences importantes. La courbe de probabilité qui permet de calculer le capital économique aura alors un nuage de points mieux répartis autour de la moyenne que celle basée sur une estimation forfaitaire à partir des incidents extériorisé, généralement important. Par conséquent, une méthode fine de mesure et de maîtrise du risque opérationnel devrait normalement aboutir à une économie en fonds propres par rapport à une approche de type forfaitaire. Mais tout d'abord, observons, sous forme de schémas, quels sont les différents types d'événements de pertes recensés par le comité de Bâle ainsi que les 8 lignes d'activités du risque opérationnel.

3.2. Mapping des 8 lignes d'activité du risque opérationnel

Le mapping du risque opérationnel nécessite de classifier la perte enregistrée suivant une nomenclature. La perte considérée est affectée à une ligne d'activité de la banque dans une codification réglementaire. Cela permettra de constituer, nous le verrons plus tard, un historique des pertes (sous forme de matrice) par type de perte et ligne d'activité.

Niveau 1

Niveau 2

Activités

Financement des entreprises

Financement des entreprises (Corporate finance)

Fusions acquisitions, engagements, privatisations, titrisations, recherche, titres de dette, actions, prêts
consortiaux, introduction en bourse, placement sur le marché secondaire

Financement des collectivités locales / administrations

(Government finance)

Banque d'affaires (Merchant Banking)

Service conseil (Advisory services)

Négociation et vente

Ventes

Valeur à revenu fixe, actions,

change, matières premières, crédit financement, titres sur positions propres, prêts et pensions, courtage, titre sur dette, courtage de premier rang

Tenue de marché (Market making)

Positions pour compte propres (Proprietary positions)

Trésorerie

Banque de détail

Banque de détail

Prêts et dépôts, services bancaires, fiducie, gestion de patrimoine, conseil en placement, cartes commerçants/commerciales, cartes d'entreprises/de clientèle

Banque privée (private banking)

Cartes (card services)

Banque commerciale

Banque commerciale

Financement de projets, immobilier, exportations, commerce, crédit bail, prêt, garanties, lettres de changes

Paiements et règlements

Clientèle extérieure

Paiements et recouvrements, transferts de fonds, compensation et règlements

Fonction d'agent

Conservation (Custody)

Dépôts, certificats, prêts de titre, opérations de sociétés

Agents émetteurs et payeurs

Prestation d'agent aux entreprises (Corporate agency)

Service fiducie aux entreprises (Corporate Trust)

Gestion d'actifs

Gestion de portefeuille

discrétionnaire

(Discretionary fund management)

Gestion centralisée, séparée, de détail, institutionnelle, fermée, ouverte, capital investissement

Gestion de portefeuille non discrétionnaire (Non -Discretionary Fund Management)

Courtage

Courtage de détail

Exécution et service complet

3.3. Mapping des pertes opérationnelles

Catégorie

Définition

Sous-catégorie

Exemples

Fraude interne

Pertes dues à des actes de
fraudes de détournement
de règlement de loi ou de
politique interne qui
implique au moins un
acteur interne

Activité non autorisée

Transaction non notifiée (volontaire), mauvais

enregistrement de position (volontaire)

Vol et Fraude

Fraude au crédit ou au dépôt, extorsion, vol, détournement d'actifs, destructions d'actifs, contrefaçon, évasion fiscale, pots de vins, délit d'initié

Fraude externe

Pertes dues à des actes de
fraudes de détournement
de règlement de loi par une
partie tierce

Vol et fraude

Vol, contrefaçon, falsification de chèques

Sécurité des
systèmes

Dommages dus au piratage, vol d'informations

Pratique en
matière
d'emploi et de
sécurité sur site

Pertes dues à gestion des
ressources humaines,
la santé

Relations de travail

Rémunérations, avantages, résiliation de contrats

Sécurité de travail

Hygiène et sécurité, responsabilité civile

Discrimination

Tout type de discrimination

Clients,
produits,
pratiques
commerciales

Pertes dues à des
négligences à des
obligations envers des
clients ou à des produits
défectueux.

Conformité, diffusion
d'informations

Violation de contrats, conformité d'informations,

violation de confidentialité, vente agressive, utilisation abusive de données privées,

responsabilité du prêteur

Pratiques
commerciale
incorrectes

Législation anti-trust, manipulation de marché, délit d'initié, activité sans

agrément,

blanchiment d'argent

Défaut de produit

Vice de production,
erreur spécification

Sélection exposition

Erreurs de sélection, dépassement des limites d'exposition

Service conseil

Conflit sur les performances d'activité de conseil

Dommage aux
actifs corporels

Pertes dues à des
catastrophes naturelles ou
autres événements

Catastrophes et
autres causes

Pertes sur catastrophes naturelles

Autres pertes (terrorisme

vandalisme)

Interruption
d'activité

Perte dues à des
interruptions d'activité

Système

Matériel, logiciel, télécommunications

Exécutions,
livraison et
gestion

Pertes dues à des erreurs
dans la gestion ou les
relations avec les
contreparties commerciales
et fournisseurs

Saisie, exécution et
suivi

Problème de communication,

erreur de saisie, suivi ou chargement, non respect de délai,

erreur de

manipulation du système, erreur comptable, erreur de livraison, erreur de gestion des suretés, mauvais suivi des références

Gestion, reporting

Manque à l'obligation de notification,

rapport externe

erroné

Documentation
clientèle

Manque de documents juridiques

Gestion des comptes
clients

Accès sans autorisation aux comptes, enregistrement incorrect, dommage sur des actifs clients

Contreparties
commerciales

Fautes d'une contrepartie, conflit

Fournisseurs

Sous-traitance, conflit avec les fournisseurs

4. La mesure du risque opérationnel dans les activités bancaires 4.1. Le capital réglementaire pour le risque opérationnel

Le texte réglementaire précise qu'« Étant donné l'évolution constante des méthodologies d'analyse du risque opérationnel, le Comité ne précise ni l'approche ni les hypothèses quant aux distributions de probabilités utilisées pour modéliser la mesure du risque opérationnel aux fins du calcul des fonds propres réglementaires. Une banque doit cependant être à même de démontrer que son approche prend en compte les événements exceptionnels générateurs de pertes potentiellement sévères. Quelle que soit l'approche retenue, un établissement doit faire la preuve que sa mesure du risque opérationnel répond à un critère de fiabilité comparable à celui de l'approche notation interne pour le risque de crédit (correspondant à une période de détention d'un an et à un intervalle de confiance à 99,9%) »

Bâle II propose trois approches pour déterminer les capitaux propres qu'il convient de mobiliser pour couvrir le risque opérationnel : l'approche des indicateurs de base, l'approche standardisée et l'approche avancée. L'approche retenue peut varier selon l'activité bancaire considérée. L'approche en mesures avancée peut être adoptée pour certaines activités, l'approche « indicateur de base » ou « l'approche standardisée » peuvent être retenues pour d'autres. Le recours à l'approche standardisée ou à l'approche en mesure avancée est toutefois irrévocable, des critères d'éligibilité sont d'ailleurs requis pour pouvoir les appliquer. Tant que les bases de données interbancaires ne seront pas plus nombreuses, les risques opérationnels seront difficiles à quantifier pour des événements rares et les approches les plus sophistiquées pourront difficilement être mise en oeuvre. Le fait que l'approche en mesure avancée conduise le plus souvent à un capital réglementaire inférieur à celui déterminé par les autres méthodes devrait inciter les banques à l'adopter rapidement (l'AMA).

4.2. L'approche indicateur de base

L'approche indicateur de base est applicable à toute banque. Il n'y a aucune condition particulière à remplir en matière de normes de gestion, hormis les recommandations figurant dans les « Sound Pratices for the management and supervision of Operational Rask » (2003). Simple à mettre en oeuvre, cette approche nécessite souvent la plus forte mobilisation en fonds propres. Les exigences de fonds propres sont déterminées en appliquant un facteur spécifique

au produit annuel brut moyen estimé des trois années précédentes. L'exigence en fonds propre est exprimée ainsi :

KIB=

? (PBj × á)

~

~1

n

Où KIB représente l'exigence en fonds propres selon l'approche indicateur de base, PBj est le produit brut annuel de l'année j, n est le nombre d'années permis les 3 dernières pour lesquelles le produit brut annuel fur positif. a vaut 15%. Le produit brut bancaire considéré ne comprend aucun résultat extraordinaire, aucun revenu d'assurance, aucune provision et aucune plus ou moins-value de cession du portefeuille bancaire.

4.3. L'approche standard

Dans l'approche standard, l'approche précédente est appliquée à chacun des 8 centres de profits de la banque. L'approche standard est applicable sous conditions particulières définies dans le document « International Convergence of capital Measurements and Capital Standards »(2004). Les activités caractérisant les centres de profits sont définies par les régulateurs nationaux. Le produit brut bancaire moyen sur les trois dernières années de chaque centre i, PBi, est censé être étroitement corrélé aux risques opérationnels. Les fonds propres qu'il faut mobiliser pour couvrir les risques de chaque centre sont obtenus en appliquant un coefficient ßi, au produit brut bancaire de chaque activité.

Ktsa =

? max[(? PBij × âi

! ~ ) , 0

~

~

3

Ktsa mesure l'exigence de fonds propres selon l'approche standard, PBij est le produit annuel brut de l'activité i pour l'année j, ßi est un pourcentage fixe (voir tableau ci-après), représentant la relation entre le niveau de fonds propres requis et le produit brut de chacune des huit lignes de métier.

Ligne d'activité

Coefficient

Financement des entreprises

/31

=

18%

Négociation et vente

/32

=

18%

Banque de détail

/33

=

12%

Banque commerciale

/34

=

15%

Paiements et règlements

/35=

18%

Fonction d'agent

/36

=

15%

Gestion d'actifs

/37

=

12%

Courtage de détail

/38

=

12%

Pour réaliser cette approche, la banque doit réaliser une approche dite « Bottum-up » des produits, des activités, des processus, des systèmes, et des évènements externes. Cette analyse (cartographie des risques) doit être revue régulièrement. La banque doit analyser le risque de faillite en étudiant les pertes peu fréquentes mais fortes mais également celles très fréquentes et faibles. Elle doit mettre en place des limites et gérer les cas où le processus et contrôles internes ne sont pas suivis. Un système de reporting doit définir les procédures en fonction des informations contenues dans le rapport interne. Elle doit communiquer sur ce risque à l'intérieur de la banque. Elle doit intégrer la gestion de ce risque dans sa gestion quotidienne en créant une incitation à la bonne gestion et utiliser des assurances si nécessaires. Elle doit rechercher systématiquement et traquer les risques par ligne d'activité. Elle doit avoir une documentation pour affecter ces risques aux huit lignes d'activité définies par la réglementation.

4.4. Les approches en mesures avancées

L'approche en mesures avancées repose sur un système de mesure du risque opérationnel propre à chaque banque. L'adoption de cette approche suppose que la banque soi en mesure d'élaborer des modèles appropriés et qu'elle dispose de statistiques fiables pour alimenter ces modèles. L'usage de ces derniers doit impérativement être approuvé par les superviseurs nationaux.

L'adoption de l'approche en mesure avancée nécessite, outre le respect des conditions de
l'approche standardisée, le respect de deux exigences supplémentaires qui portent sur le

contrôle effectif et sur la mesure des risques opérationnels. Les exigences sont précises et visent à vérifier que la gestion interne du risque opérationnel est réelle et que la modélisation est fiable, prédictible et solide. La première exigence impose la mise en place d'un dispositif de contrôle et de gestion des risques opérationnels validé par le service d'audit interne. La seconde impose la mise en place de systèmes d'identification des risques opérationnels et de recensement des données pertinentes par catégorie d'activité. Elle exige une estimation des valeurs de EI (indicateur d'exposition), PE (probabilité de l'événement sur un horizon donné), et LGE (perte moyenne suite à l'événement) basée sur un historique suffisant de pertes. Des normes permettant la correspondance entre les métiers des établissements et la typologie prévue par le comité de Bâle devront être élaborées. Les banques qui utiliseront cette approche devront estimer la charge en capital qui en résulte l'année qui précède sa mise en place. Une période probatoire peut être exigée par le superviseur national. Les événements susceptibles d'entraîner des pertes opérationnelles sont précisément détaillés par la réglementation. Il s'agit de garantir que la gestion interne du risque opérationnel est réelle et que les modèles élaborées sont fiables.

Les approche éligibles sont diverses et peuvent être basées sur : la volatilité des revenus, des modèles paramétriques qui estiment la distribution des pertes à partir de données de pertes et qui utilisent la méthode de Monte-Carlo pour estimer les pertes attendues et inattendues, des modèles basés sur les comportements, des approches causales.

Nous décrivons ici trois approches : l'approche par tableaux de bord (scorecard approach), l'approche par mesure interne (internal measurement approch) et l'approche LDA (loss distribution approach). L'approche par tableau de bord utilise les causes des pertes pour prédire les montants des pertes. Ces causes sont synthétisées en un score. L'appreche en mesure interne (IMA) calcul le capital nécessaire en supposant une relation entre les pertes attendues (EL) et pertes inattendues (UL). Les pertes attendues sont alors multipliées par un facteur d'échelle pour obtenir les pertes inattendues. L'approche LDA est plus sophistiquée. Elle estime directement le capital nécessaire en plusieurs étapes. La fréquence des pertes et la sévérité de ces mêmes pertes sont estimées séparément par deux distributions statistiques. Ces deux distributions permettent de modéliser la distribution des pertes en utilisant la technique de simulation de Monte-Carlo (que nous ne détaillerons pas ici).

4.4.1. Scorecard approach

Des questionnaires d'auto-évaluations permettent de cerner les risques et les facteurs de risques associés (Key Risk indicateurs : KRI). Des contrôles internes sont alors mis en place pour limiter e risque. Un référentiel de meilleures pratiques permet de préciser un score.

Dans cette approche, le capital est déterminé au niveau des 8 lignes de métier. Au fil du temps, ces montants sont ajustés selon les scores calculés sur les tableaux de bord. Les banques cherchent à améliorer le contrôle de leur environnement de risque pour réduire aussi bien les fréquences que les montants des pertes. Pour ce faire, elles identifient un certain nombre d'indicateurs de risque. Mais ce n'est qu'après des tests sur une période suffisamment longue que ces indicateurs sont validés. Ces indicateurs de risque représentent donc indirectement l'importance du risque opérationnel. Le montant des pertes lié au risque opérationnel est indiqué par un score qui représente une combinaison de ces indicateurs de risque. Le capital réglementaire ne dépend pas uniquement de l'historique des pertes. II dépend aussi des progrès réalisés par la banque dans la gestion de ses risques opérationnels.

4.4.2. Mesure interne (Internal Measurement approach)

Cette approche se base sur une hypothèse de relation stable entre les pertes attendues (moyenne de distribution) et les pertes inattendues (la valeur à risque de la queue de distribution). Cette relation, si elle est linéaire, conduit à une simple multiplication de la perte attendue par un facteur d'échelle. Explication.

Le capital réglementaire Kij pour chaque ligne d'activité bancaire i et type d'événement j :

Kif = yif × Elif × PEif × LGEif = yif × ELif

PE Probabilité de l'événement sur un horizon donné

LGE Perte moyenne suite à l'événement

EI Indicateur d'exposition qui capte l'activité de la banque sur une ligne d'activité de métier

yif Facteur d'échelle entre UL et EL

Cette relation peut aussi être non linéaire, dans ce cas, le capital est une fonction plus complexe des pertes attendues.

Selon cette approche, les pertes attendues sont calculées généralement en estimant la fréquence et taille des pertes pour chaque type d'événement au sien de chaque ligne d'activité : 56 cellules sont ainsi définies. Pour chacune d'entre elles, les données internes ainsi que les données externes sont utilisées.

4.4.3. Approche par distribution de pertes (LDA : Loss distribution approach)

Dans ce cadre, l'évaluation des pertes attendues (EL) et inattendues (UL) est le travail de base fournissant l'information pour la modélisation du risque. Cette approche nécessite 4 étapes. Cette méthode est plus adaptée à la réalité des risques de chaque banque que les méthodes indicateurs de base et standard. EN effet, elle utilise les données de pertes et non les revenus d'activités pour calculer la charge en capital nécessaire pour assumer les risques opérationnels sous jacents aux activités. L'approche LDA est plus sensible que celle par mesure interne car cette dernière, en fixant le lien entre UL et EL, n'est plus soumise à la difficulté de modéliser les événements rares. L'approche par les tableaux de bord est préférable pour optimiser la gestion du risque opérationnel. En effet, cette approche identifie des indicateurs de risques qui servent à agir sur les causes des risques sous-jacents aux activités. L'approche LDA ne fait, elle, que calculer le capital nécessaire sans permettre d'améliorer la gestion de ce risque. Une combinaison de l'approche par tableaux de bord et de l'approche LDA est surement la meilleure solution pour améliorer la gestion et le calcul du risque opérationnel.

5. Implémentation d'une stratégie de gestion du risque opérationnel

La recherche de solutions performantes afin de mieux maîtriser le risque opérationnel s'apparente à la quête du Graal pour la plupart des institutions bancaires. Le risque opérationnel a largement dépassé le cadre restreint de la banque et concerne désormais le secteur financier dans sa globalité. Ce changement d'échelle s'accompagne inévitablement d'une montée en puissance des risques opérationnels, notamment ceux liés à l'erreur humaine, à la fraude, ou à l'environnement légal et réglementaire. Corrélativement, la nécessité d'adopter des mesures plus strictes de surveillance et de contrôle du risque fait l'objet d'une attention croissante de la part des autorités de régulation, entraînant de fait une exigence accrue vis-à- vis des banques.

L'action simultanée de ces différentes sources de pression devrait contraindre les banques à adopter dans les prochaines années une stratégie globale de gestion du risque opérationnel. Les défis à relever sont nombreux et, comme souvent, les solutions sont loin d'être triviales. Il suffit pour s'en convaincre de penser aux difficultés techniques posées par la dépendance circulaire entre un modèle de mesure du risque opérationnel et les données qui vont l'alimenter. La robustesse du premier dépend, en effet, étroitement de la qualité des secondes. Sans parler des nombreuses incertitudes concernant le processus de recueil des données proprement dit. Et encore, même en considérant la question de la mesure du risque réglée, passer à l'étape suivante n'est pas une tâche aisée. Implémenter une stratégie globale de gestion du risque opérationnel exige, en effet, d'automatiser tous les processus IT, de collecter et stocker les données, sans oublier de mettre en place un reporting performant. Le tout devant naturellement s'intégrer dans un ensemble structuré et cohérent.

Définir une stratégie globale de risque opérationnel exige donc d'appréhender le problème selon une approche intégrée. Pour ce faire, il faut rompre avec une vision fragmentée en termes de silos fonctionnels. Il s'agit là de l'un des défis les plus difficiles que les organisations bancaires devront relever dans un avenir proche. Et il est peu probable que des solutions ponctuelles résolvent le problème. D'où l'intérêt de préciser les deux axes principaux d'une stratégie globale de gestion du risque opérationnel : l'intégration d'une infrastructure de support dans la banque et augmenter la réactivité.

5.1. Intégrer une infrastructure de support dans la banque

5.1.1. Définir l'architecture SI

Une difficulté majeure, lors de l'implémentation d'une stratégie globale de gestion du risque opérationnel, est d'intégrer ses différentes composantes dans un ensemble cohérent. Il y a très peu d'applications disponibles sur le marché qui fournissent tous ces éléments sous la forme d'un package intégré. Il est donc essentiel de commencer par définir une architecture qui facilite l'intégration de toutes ces composantes. Si les aspects techniques de cette intégration sont déterminants, il va sans dire qu'il est tout aussi important de s'assurer que la logique d'activité de la banque entre ces différents éléments est préservée. En d'autres termes, il est nécessaire de déterminer comment ces composantes devront interagir. À titre d'exemple, le system workflow de la banque peut contenir des informations très utiles sur l'efficacité des processus et l'application de méthodes ou décisions. Cette information peut être utilisée à la fois comme un indicateur de risque (par exemple, le nombre de processus non achevés à temps par un individu ou une ligne d'activité) ou comme une donnée explicative (par exemple, quelle était la cause de cette défaillance ?).

Les indicateurs de risque jouent un rôle très important à la fois au niveau de l'interprétation et de la prévention du risque opérationnel. Ils proviennent de diverses sources (par exemple, ressources humaines, systèmes de front-office, etc.) au sein de la banque, et sont étalonnés sur une période de temps déterminée en fonction de mécanismes de déclenchement pré spécifiés.

Le volume considérable de données en jeu et les difficultés techniques liées à la gestion du risque opérationnel exigent d'actionner une infrastructure de support dans la banque. L'objectif est de faire apparaître les principaux domaines fonctionnels que l'infrastructure de soutien doit nécessairement intégrer pour être vraiment efficace. Outre les aspects traditionnels de data warehousing, de reporting, et de monitoring qui sont à considérer, le rôle de la plateforme d'intégration (middleware) est essentiel car les données nécessaires à la gestion du risque opérationnel proviennent souvent de sources multiples, à la fois internes et externes. Les spécificités de l'architecture IT de chaque institution financière doivent bien entendu orienter les caractéristiques futures de cette plateforme d'intégration. Cela étant, le triptyque recueil/contrôle/surveillance des données d'événements de perte sur l'ensemble des lignes d'activité reste essentiel. Sur ce point, la responsabilisation des acteurs concernés revêt une importance particulière. Les banques s'appuient, en effet, sur une infrastructure technologique de plus en plus sophistiquée et complexe. Elles s'exposent donc à des risques opérationnels endogènes liés à la conception de cette infrastructure et à son degré d'efficacité.

Il faut également prévoir un processus d'automatisation des flux/transferts de données dans l'infrastructure de support. Dans ce but, il est nécessaire de codifier et d'institutionnaliser ces flux et transferts au sein d'un système d'information, que le risk manager pourra mobiliser dans le cadre de la prise de décision. Un tel système d'information doit être capable de produire un état des anomalies et défaillances. Il ne fait aucun doute que les institutions financières seront de plus en plus incitées à divulguer, au-delà des obligations légales, des informations concernant leurs pratiques de gestion du risque opérationnel. L'importance des processus de flux/transferts de données ne doit donc pas être sous-estimée.

5.1.2. Le module IDB (Incident Data Base)

La stratégie d'une banque doit se situer dans une logique de mise en oeuvre d'un management actif du risque opérationnel. Cette stratégie repose sur les analyses des risques opérationnels supportés par les processus métiers. Pour prendre en compte la demande du régulateur de s'appuyer des incidents constatés sur mois de trois ans, la première étape a été celle de la collecte des données historique sur une base de données (IDB : "Incident data base").

Les quatre modules aboutissant à l'évaluation du risque opérationnel sont les suivant :

La collecte des incidents dans une base IDB selon une procédure commune L'évaluation du risque

L'alimentation des indicateurs clés du risque

L'analyse, le reporting, les moteurs de calcul du capital réglementaire

Le module IDB doit permettre la collecte des données historiques. Les modules évaluation du risque et indicateurs clés de risques traitent des données prospectives. Ces données sont ensuite passées à des moteurs de calcul. La question est de mesurer les conséquences d'un incident et, pour les incidents éligibles, d'enregistrer ses conséquences après valorisation.

La centralisation des incidents peut utiliser 2 circuits qu'il faut synchroniser :

Automatique à partir des bases existantes

Saisie manuelle avec validation au traves d'un outil de travail coopératif (workflow)

5.1.3. Gestion des données

Ces dernières années, bon nombre d'institutions bancaires ont consacré beaucoup de temps et de ressources à la mise en oeuvre effective de procédés de stockage des données de risque (risk data warehouses). Cependant, très peu d'entre elles ont cherché à convertir ces données de risque en information utilisable dans le cadre de prise de décision. Un point clé de la gestion de l'information réside dans la difficulté de relier de façon cohérente un ensemble de données provenant de sources multiples, et faire en sorte qu'elles puissent être groupées selon une structure logique et facilement interprétable. La gestion du risque opérationnel dans une banque est soumise aux mêmes contraintes et difficultés. Le recensement des facteurs de risque opérationnel et l'évaluation de leur impact sur l'activité d'une banque exigent de recueillir un ensemble de données très vaste. Par exemple, estimer la probabilité d'occurrence d'une déperdition d'énergie requiert d'intégrer des données sur la fiabilité du fournisseur d'électricité, des données sur le plan d'urgence adopté par la banque dans cette situation, et des données relatives aux conséquences de ce type d'incident/accident sur son fonctionnement.

Or, il n'est pas forcément aisé de se procurer ce type de données. Inévitablement, les banques seront amenées à faire des arbitrages. Lorsque les données sont difficiles ou chères à obtenir, il faut tenter de parvenir au meilleur compromis coût/efficacité. Une approche pragmatique devient indispensable, même si elle induit l'adoption de solutions sous-optimales en termes de précision de la mesure du risque opérationnel. Il est préférable pour les banques de se concentrer sur leurs facteurs de risque principaux, et de le faire bien, plutôt que d'essayer de les prendre tous en compte, et de finir par le faire mal.

5.1.4. Gestion des incidents informatiques

5.1.4. 1.Causes - événements - impacts

Il est fondamental de voir en quoi les incidents avérés saisis dans une base IDB peuvent servir à améliorer la gestion des risques opérationnels. La bonne gestion du risque opérationnel suppose en effet d'avoir à la fois une vision précise des relations « évènement causes impacts » et une capacité d'agir sur les causes. Il faut donc se demander si le rattachement aux nomenclatures d'évènements et de causes définies par le régulateur, d'une part et l'organisation du dispositif mis en place par Direction, d'autre part, offrent une efficacité permettant de réduire les risques au quotidien.

Tant à la direction informatique que dans les métiers et autres fonctions, des systèmes de
gestion d'incidents existent déjà et sont parfois spécialisés selon les processus concernés. Mais
c'est à partir d`IDB, alimenté depuis 2002 avec plus ou moins de bonheur par les entités, que la

direction des risques prépare le reporting et soumet l'analyse des incidents saisis au comité du risque opérationnel.

Le nombre de possibilités de rangement offertes par les nomenclatures de Bale II pour les incidents de type informatique est très limité, l'information sur les incidents étant complétée la plupart du temps en texte libre, ce qui rend difficiles les analyses a posteriori. De plus, le taux de saisie des incidents d'origine informatique par les métiers est assez faible, y compris pour la Direction informatique par rapport à ses propres risques.

La méthode AMA va conduire, par l'analyse des processus et des scénarios de risques, à une nomenclature plus précise des types d'évènements et de causes rattachés à des rubriques standards de Bale II, mais différentes de celles de l'IDB actuelle. Il va falloir faire converger et mapper les nomenclatures d'évènements et de causes pour IDB et pour AMA. Mais dans les deux cas, les nomenclatures proposées sont trop éloignées du réel perçu sur le terrain. Il faudrait définir des types d'évènements et de causes plus réalistes, vraisemblablement entre 50 et 100 dans chaque cas, et les rattacher systématiquement aux rubriques de Bale II, si l'on veut être en mesure d'effectuer des analyses pertinentes et pas seulement de beaux rapports pour régulateur. Les analyses réalisées avec AMA, qui font entrer en ligne de compte les pertes non prévues, doivent également mettre en évidence des indicateurs clés de risques et des indicateurs de maitrise du risque qui rentreront dans les formules de calcul du capital. Il est impératif de savoir si la base IDB est un outil de gestion opérationnelle du risque ou un simple instrument de reporting vers les régulateurs.

L'analyse du contenu de la base IDB et des procédures de gestion des incidents informatiques part du constat que seuls deux évènements et deux causes étaient proposés par Bale II pour qualifier les incidents. Dans ce cadre, la DI doit fournir sa propre liste d'évènements, en précisant bien que la typologie des causes, plus difficile à établir, viendra après une analyse en profondeur des bases d'incidents utilisées par les équipes de production.

Dans l'état actuel des choses, on a le choix entre plusieurs classifications des risques dans le processus DVT :

Les deux nomenclatures issues de Bale 2, différents entre les évènements constatés (IDB) et les évènements potentiels(AMA) ;

Le mapping de ces différentes listes est ingérable à la main. Elles sont difficilement réductibles, car leurs critères de classement font apparaitre de dépendances multi évaluées. Par exemple, les risques projets liés a la qualité des relations MOA /MOE sont croisés avec d'autres thèmes en fonction de l'étape du projet (spécifications, recette, mise en oeuvre). L'examen des causes

issues de la vraie vie et de l'expérience quotidienne des chefs de projets montre que, sur quatre principales causes relevées par les chefs de projets, la défaillance du système de qualité apparait sur la liste du niveau 3 proposé par Bale II.

Pour compliquer l'affaire ou telle nomenclature spécifique peux venir s'ajouter dans le paysage. Il est naturel que des nomenclatures spécifiques soient nécessaires pour des processus techniques ou pour des fonctions comme RH, achat, déontologie, audit, budget.

Dans ces conditions de flous artistiques sur les nomenclatures d'évènement et de cause, et en l'absence d'un référenciel pour les processus communautaires, il est très difficile pour les métiers d'intégrer les processus des fonctions dans leur propre processus.

La typologie d'évènement définit par bale II est très éloigné de la pratique quotidienne vécu par les équipes. Le niveau de granularité des nomenclatures offertes n'est pas suffisamment proche du vécu de l'utilisateur, ce qui lui fait hésiter entre plusieurs événements possible.

Il est clair qu'il faudrait créer un niveau 4 pour assurer l'intégration, la cohérence et la traçabilité globale entre la gestion des incidents et la gestion des risques. Le problème des incidents récurrents doit aussi être résolu. La recherche des causes et leur remonté vers les personnes qui en ont la responsabilité et les moyens de correction constitue le noeud de l'affaire.

Plutôt que d'embrouiller les choses en laissant l'utilisateur rechercher une autre cause approximative, il vaut mieux lui fournir une bonne liste d`événements directement compréhensible, et passé la main aux spécialistes du problème pour qu'ils renseignent les vraies causes après diagnostic et correction.

Il est fondamental que l'on puisse revenir sur les causes après la saisie initiale de l'incident effectuée le plus souvent par l'utilisateur du métier concerné.

Si le dispositif existant de gestion des incidents informatiques n'est pas intégré par

l'alimentation de la base IDB :

- les reportings effectués ne sont pas cohérents, les impacts économiques et financiers

sont peux fiables et la traçabilité globale doit être faite à la main ;

- Les circuits d'information sont multiples entre la gestion des incidents et la gestion du risque opérationnel.

- Les liens de rattachement dans le cas ou un incident global crée de multiples incidents locaux ne sont pas gérés automatiquement.

Il faut améliorer la qualité de la saisie des incidents, renforcer les contrôles de cohérence,
utiliser une nomenclature et un vocabulaire plus exigeants qui permettent de repérer les

doublons et les conséquences multiples d'un même évènement, de détecter les corrélations d'évènements, les évènements récurrents, les propagations, les faux incidents, les alertes.

La recherche des causes n'est pas à faire par les utilisateurs qui constatent un évènement ou en subissent les impacts mais par les professionnels de l'informatique, seuls capables d'apporter des actions correctives et préventives, ceci souvent après une recherche approfondie et longue. Les équipes de production et de support de la DI possèdent dans la plupart des cas l'essentiel des informations, à l'exception des impacts financiers qui sont connus des métiers. Dans tous les cas, la mise en relation entre l'informatique et les métiers est indispensable pour que toute l'information nécessaire à la collecte de l'incident dans IDB soit recueillie. L'élaboration de la liste des causes demande donc qu'un travail préalable soit effectué en liaison avec les équipes du terrain (la production).

La faiblesse de la démarche AMA, c'est de lancer les métiers dans leurs analyses de risques potentiels indépendamment de l'analyse des historiques d'incidents de la base IDB. Au plan de l'organisation, une dichotomie préjudiciable est créée artificiellement entre la gestion des incidents et la gestion des risques opérationnels, comme si les analyses de risques faites dans la précipitation et l'enthousiasme du début ne devaient pas survivre dans un mode de fonctionnement opérationnel. C'est une fuite en avant irrationnel et opportuniste, car il sera difficile de greffer et d'intégrer après coup le réseau d'analyses du risque opérationnel dans les circuits d'incidents.

5.1.4.2. La confusion entre les causes et les effets

Au delà de la gestion des incidents, la gestion du risque opérationnel est un sujet difficile. La confusion entre les causes (fait générateur) et les effets (évènement perçus et impact) relève d'une incompréhension grave de la démarche et des objectifs poursuivis par les régulateurs. Une véritable gestion de risque ne peut se permettre d'ignorer l'importance de la recherche des causes profondes et endémiques qui créent les potentialités d'incidents ou leur caractère récurrent. La transparence et la vérité sont ici les conditions nécessaires à remplir si l'on veut progresser au delà de la seule gestion des incidents.

La recherche des vraies causes est un comportement nettement plus responsable et efficace qu'une simple alimentation du reporting légal aux régulateurs. Les équipes de production doivent avoir la volonté de travailler sur les causes endémiques des incidents après leur analyse. Quelle est la vraie cause d'un incident faisant suite à l'utilisation de fichiers réels pour effectuer des tests ? On peut se rabattre sur une erreur humaine, mais de la part de qui au premier niveau ? N'y a-t-il pas une vraie cause qui est que quelqu'un a autorisé le travail de fichiers réels en tests ? Mais ce niveau de détail, qui correspond à la vraie vie, ne figure pas sur la liste de Bale II.

Deux cas de figure peuvent se présenter pour la saisie dans les IDB :

Un seul couple : évènement-cause ;

Plusieurs incidents liés, pour lesquels se constitue une chaine d'évènement causes-cascade.

Si par exemple, l'incident initial est une défaillance informatique qui entraine un incident au niveau de métier, celui-ci dira que la cause est informatique. Mais l'informatique peut détecter après diagnostic que c'est l'utilisateur qui fait planter non seulement sa propre application, mais celles d'autres utilisateurs en aval.

Dans tous les cas, il faut veiller à ce que tous les interlocuteurs concernés, notamment les personnes à l'origine des incidents liés puissent avoir accès aux données utiles, ce qui peut poser des problèmes de confidentialité. Cela signifie qu'ils doivent être désignés comme intervenants en tant que validateurs d'une entité impactée ou concernée.

Dans le cas général, il est préférable de ne saisir qu'un seul incident racine, celui qui représente l'impact essentiel sur l'activité. Les autres conséquences seront incluses dans la description de l' incident racine et prises en compte dans l'évaluation de l'impact financier.

Les circuits existants en matière de gestion des incidents informatiques jouent un rôle essentiel dans la déclaration des incidents opérationnels, l'exhaustivité de la collecte et la qualité des données recueillies.

5.1.5 Les outils de gestion des incidents

Les informations utiles pour le risque opérationnel sont pour l'essentiel disponibles dans les outils existant en production. Il faut donc étudier la possibilité d'une alimentation d'IDB la plus automatisée possible afin de limiter les saisies. Placée sous la juridiction forte, la base d'informations sera filtrée par les analyses RO afin d'éliminer des incidents sans conséquences, les doublons (incident a la fois métier et informatique ou saisi plusieurs fois), de rajouter des impacts financiers, de repérer les incidents récurrent. Ils définissent les valeurs des rubriques évènements et cause éligibles au risque opérationnel, sachant que le travail porte surtout sur les causes.

Le système d'alerte mentionne le numéro d'incident, l'origine et le destinataire avec une fonction de pilotage, de coordination et d'évaluation de l'incident : date, heure de début, description, sites, date et heure de fin, observations, numéro d'incident, résolution, gravité, cause, état. Les incidents très graves sont coloriés en rouge.

Les tableaux de bord mensuels sont établis en accord avec les métiers. On va des
indicateurs qui sont le nombre d'incidents par état (ouvert, réglé, clos, information), par cause

(inconnue, application, matériel, opération, réseau, système) par gravité et par affection de responsabilité. Les incidents importants de production sont diffusés chaque matin aux collaborateurs habiletés.

Les outils de pilotage et de surveillance sont aussi des éléments de maitrise des risques opérationnels :

- Outil pour suivre les incidents (alimentation tickets automatique) - Suivi des incidents majeurs des métiers (alimentation manuelle) - Outil de workflow permettant de gérer les demandes diverses (alimentations manuelles)

- Outil de help desk

- Outil de suivi des incidents et de gestion des problèmes

5.1.6. Les acteurs de processus : Ils sont de deux sortes :

Les initiateurs : pilote de la production, gestionnaire de pilotage métier, gestionnaire de pilotage de flux, gestionnaire de pilotage. Ces personnes sont habilitées pour initier le ticket d'incident et le suivre jusqu'à la clôture de l'incident. Ils rattachent les incidents informatiques aux processus métier.

Les réparateurs : la production, la mise en oeuvre, pour les études, les chefs de projets, les analystes et les agents techniques.

Il faut identifier les KRIs suivis dans les tableaux de bord, en étudiant les regroupements d'incidents par cause et selon la récurrence.

Au minimum, tous les évènements remarquables et incidents transférés à la gestion des problèmes sont éligibles. Entre 15 et 20 % des incidents passent en mode gestion des problèmes. Pour les autres, il convient de déterminer les critères d'extraction sur les incidents à partir des outils existants en production en ne retenant que ceux qui sont éligibles au risque opérationnel. Il faut s'assurer de la traçabilité entre la base des incidents et la base de problèmes, afin de pouvoir rapprocher automatiquement lors des analyses de risques tous les incidents qui se rapportent à une cause.

Ces évènements seront rangés dans la classification des évènements et des causes avérés incidents. Cette classification doit s'intégrer dans celle des types d'évènements de niveau 3 de Bale II adaptée a la cartographie des processus de la DI, qui fait le lien avec les incidents saisis dans la base IDB. Le vocabulaire utilisé dans les définitions de rubriques doit être le même. Un

travail d'harmonisation est à faire. Ceci permettra aux métiers d'utiliser ce vocabulaire lors de la saisie de leurs propres incidents métiers ou informatiques.

Il faut définir les règles de quantification des impacts et de l'alimentation de la base IDB à partir des impacts évalués par les métiers et le rattachement des évènements informatiques aux évènements métiers.

Il est rare qu'une analyse d'incident avéré en cas d'escalade ou de passage en mode problème soit totalement tracée en faisant l'objet d'un reporting. L'analyse du risque opérationnel doit avoir tous les éléments permettant d'agir sur la cause de façon à réduire le risque.

Il faut souligner les rôles importants du gestionnaire de pilotage métier qui assure le support informatique aux métiers en documentant les incidents et les problèmes et celui du gestionnaire de pilotage technique qui suit l'incident jusqu'à sa clôture.

Ce dispositif étant mis en oeuvre, l'analyse du risque opérationnel peut exploiter toutes les informations utiles contenues dans les reportings d'incidents pour déterminer les actions correctives et préventives et pour saisir les incidents dans la base IDB.

Pour les métiers dont la DI assure la production informatique, des évaluations d'impacts types sont à définir avec des exemples de forfaits applicables sur des incidents informatiques répétitifs.

Avec les « business impact report », les reportings d'évènements-causes-diagnostics et la classification détaillée des évènements métiers et des évènements informatiques, les responsables des métiers disposent des informations pertinentes pour connaitre et chiffrer tous les risques et agir sur les causes.

L'organisation existant en production prévoit des acteurs et des circuits de validation dans lesquels il faut introduire les profils risques opérationnels (analystes, correspondants) afin d'éviter les circuits parallèles. Des aménagements sont à prévoir dans l'organisation du dispositif de saisie des incidents par les métiers, notamment pour les circuits à suivre en fonction des incidents. Il faut introduire les profils de risque opérationnel (analystes, correspondants) dans les circuits de diffusion des informations afin qu'ils puissent faire le rapprochement entre les incidents métiers et le incidents informatique et entre un incident global (serveurs télécommunication, virus) et toutes ses conséquences locales au niveau des métiers (réel perçu).

Il faut prévoir une bonne administration de la base IDB capable de gérer les relations avec les métiers et les fonctions de façon multilatérale en rapprochant la déclaration de l'incident au niveau global (cause analysée) et les d déclarations au niveau local des métiers (réel perçu).

5.2. Augmenter la réactivité de la banque

Une stratégie de gestion du risque opérationnel ne saurait se réduire à la surveillance des facteurs de risque opérationnel, couplée à une méthode de mesure aussi sophistiquée soit-elle. Il est impératif que la banque puisse réagir le plus rapidement possible face à l'occurrence d'un événement de perte, idéalement en amont même de sa réalisation. Pour ce faire, une stratégie globale doit s'organiser autour de quatre fonctions clés :

- La détection. Il s'agit de déceler un risque opérationnel potentiel, quelle que soit sa nature, et de parvenir à une alerte «juste à temps», afin de permettre la mise en oeuvre d'actions correctrices susceptibles d'éviter la réalisation de pertes.

- Le contrôle. L'objectif est une meilleure maîtrise du risque opérationnel ainsi que la hiérarchisation des facteurs de risque que la banque considère comme critiques pour son activité.

- La couverture. C'est-à-dire développer des techniques de couverture (mitigation) et d'allocation de ressources afin de réduire le risque opérationnel.

- L'optimisation. Elle consiste, certes, à optimiser le ratio risque/rentabilité, mais aussi à

insuffler une culture du risque au sein de la banque et d'initier un processus de décision en accord avec sa stratégie.

Le Risk management exige le recueil d'information en provenance des différentes composantes de la banque. Depuis le pilier «détecter», la fonction «contrôle» va recueillir de l'information concernant les situations anormales (fraude, erreurs humaines, défaillances IT,...) qu'il faut traiter en urgence si la banque veut éviter la réalisation de pertes dues au risque opérationnel.

5.2.1. Vérification de l'efficacité globale de la gestion des risques

Bien évidemment, même les procédures de contrôle et de détection les plus performantes ne parviendront pas à empêcher l'occurrence de pertes. Il est donc indispensable de rassembler, à partir des autres départements de la banque, des données sur les causes des pertes générées par le risque opérationnel, mais aussi sur des situations de risque ayant pu être redressées à

temps (par exemple, les quasi-incidents). Le but est tout simplement d'être en situation de réduire le risque dans le futur.

Une fois que les responsables de la gestion du risque et les autres décideurs impliqués disposent de suffisamment d'information concernant les sources de risque dans la banque, et que les causes principales de celui-ci ont été clairement identifiées, l'étape suivante consiste à vérifier l'efficacité de la stratégie globale de gestion du risque opérationnel implémentée au sein de la banque. Dans ce but, certaines mesures doivent être mises en oeuvre. Par exemple, si des erreurs humaines se produisent trop fréquemment, on peut envisager deux actions simultanées. Activer des «détecteurs» et un système de surveillance (monitoring) afin d'identifier la possibilité d'occurrence d'une perte, et éviter ainsi sa réalisation. Parallèlement, procéder à un reengineering de certains processus pour simplifier les différentes tâches.

5.2.2. Organisation du reporting

Concernant l'architecture IT, l'amélioration de la sécurité est un point de passage obligé. Conjointement avec les différentes fonctions IT de la banque, le risk management est responsable de l'allocation du montant nécessaire de ressources (humaines et financières) afin d'atteindre le niveau de «sécurité» adéquat. Il peut s'agir, par exemple, de l'installation de mécanismes de prévention de courts-circuits ou de surtensions de systèmes informatiques ou autres. Par ailleurs, il est difficile d'espérer une réduction significative du risque opérationnel sans un reporting performant.

Généralement, on distingue le reporting interne, destiné au management de la banque, et le reporting externe qui s'adresse aux autorités de régulation. Ne répondant aux mêmes objectifs, ces deux catégories requièrent des fonctionnalités très différentes.

Le reporting externe est pour l'essentiel normatif : la banque est dans l'obligation de fournir au régulateur des informations spécifiques sous un format déterminé. Le reporting interne, quant à lui, exige beaucoup plus de flexibilité pour être véritablement efficace, et aura tout intérêt à mêler information qualitative et quantitative.

D'autre part, les différents niveaux de responsabilité au sein de l'organisation n'exigeront probablement pas le même niveau de détail concernant l'information sur le risque opérationnel. Par contre, ils seront sûrement intéressés par la possibilité de segmenter cette information en fonction de leur propre activité et responsabilité. La possibilité de réaliser des analyses de scénarios sera également déterminante à ce niveau.

Les outils de reporting externe, destinés à l'autorité de régulation, vont vraisemblablement perdurer sous la forme de solutions autonomes, compte tenu de leur nature normative et de leur capacité à servir de support au développement de logiciels dédiés. Les outils de reporting interne se destinent plutôt à devenir partie intégrante de solutions globales, étant donné le besoin actuel des banques en termes d'analyses de scénarios. Autrement dit, ils seront amenés à jouer un rôle d'interface active entre les bases de données et les outils d'autoévaluation. Ces derniers doivent permettre l'attribution de scores évaluant la qualité, mais aussi et surtout, les insuffisances du système de gestion du risque opérationnel à l'oeuvre dans la banque.

En définitive, une stratégie globale de gestion du risque opérationnel doit permettre à la banque de réagir et de se rétablir dans les meilleurs délais lorsqu'un événement de risque opérationnel survient, ce qui réduit de fait l'impact sur sa rentabilité et son activité clients. À ce niveau, le risk management doit travailler en collaboration étroite avec les responsables de la continuité de l'activité, de façon à les aider à actualiser leur plan/planning de redressement en cas d'occurrence d'événements de risque opérationnel. Le risk management doit également fixer des priorités et orienter l'engagement de la banque, tant humain que financier, dans sa stratégie globale de gestion des risques.

5.2.3. Les tableaux de bord

Les tableaux de bord font partie d'une stratégie globale de communication. Le tableau de bord doit être un outil de support de communication avec la direction générale et avec les responsables des métiers.il constitue un excellent moyen de faire passer des messages sur la qualité des prestations informatiques.il permet de dialoguer avec les clients, la hiérarchie, les organes de contrôle et les responsables opérationnels.

L'efficacité du reporting dépend des objectifs et des indicateurs de la qualité fixés contractuellement pour les services rendus (exemple, interventions sous quatre heures, critères de définition des incidents graves, périodes critiques de l'activité). Le tableau de bord sert de fondement au suivi des relations contractuelles. L'identification des exigences de chaque partie est déterminante pour la définition du tableau de bord. Il faut éviter les jugements de valeur, qui font montrer en épingle un dysfonctionnement ponctuel touchant un utilisateur influent tandis que d'autres dysfonctionnement chroniques seront considères comme une fatalité par les utilisateurs. Les mystères de la technique derrière lesquels pouvait se retrancher le fournisseur de services pour expliquer un dysfonctionnement ne sont plus de mise. Il faut expliquer le dysfonctionnement d'une façon objective et qui permette à chacun d'identifier sa part de

responsabilité afin de prendre les mesures correctives à chaud et préventives à moyen terme pour éviter la réapparition de l'incident.

La remontée d'une insatisfaction de la clientèle peut prendre beaucoup de temps dans les grandes structures avant de parvenir au bon niveau hiérarchique. Si le tableau de bord ne s'intéresse qu'aux incidents graves, il occulte des dysfonctionnements potentiels qui ont souvent un caractère chronique avant de tourner brutalement au drame. Le suivi non critique de l'activité s'apparente au même phénomène. Il est rare qu'un incident grave fasse l'objet d'un audit permettant de creuser plus profond.

D'une façon générale, l'arsenal des tableaux de bord permet rarement une réflexion stratégique d'une plus grande portée que le simple constat instantanée. La réduction des risques opérationnels procède donc davantage d'une réactivité au coup par coup plutôt que d'un suivi permanent ou d'une anticipation. Il est primordial de faire apparaitre les actions d'amélioration avec leur impact et les délais d'intervention après un incident. Il est judicieux de montrer que le suivi ne se limite pas à un simple constat de problèmes, mais vise aussi à leur résolution et à leur prévention. Le suivi des incidents permet de mesurer la réactivité des prestataires. Le suivi de la qualité de service permet de s'assurer que les termes des contrats passés entre les utilisateurs et les fournisseurs de services sont respectés.

5.2.3.1. La qualité du tableau de bord

Pertinence des indicateurs : typologie de libellés d'incidents. Les indicateurs ne doivent pas apparaitre comme un moyen habile de noyer les dysfonctionnements dans la masse d'informations. L'utilisateur doit retrouver son propre constat vécu au quotidien dans les chiffres et les graphiques fournis. L'idéal est que les applications incorporent dès leur conception la fourniture de leurs propres indicateurs qui alimentent les tableaux de bord.

Définition : chaque information doit être définie sans ambigüité. II faut un consensus sur l'interprétation des données. L'efficacité du tableau de bord dépend en grande partie de son adaptation au besoin de celui qui le reçoit et a sa compréhension des problèmes. Des outils comme la cartographie des processus et les schémas d'architecture fonctionnel et techniques permettent a tous de se comprendre et de pouvoir analyser un incident ;

Fiabilité : précisions, degré de certitude et du suivi des évolutions anormales. Il faut éviter de signaler plusieurs fois la même chose sur des noms différents ;

Fraicheur de l'information et fréquence : dimension temporelle, évolution visible dans le temps, alerte par anticipation des conséquences différées mais inéluctable d'un incident qui viens de se produire ;

Ergonomie : qualité de la présentation de graphiques, tableaux ; lisibilité, compréhension immédiate des évolutions, comparaison possible par rapport à des normes acceptées. Possibilité de descendre /remonter entre les niveaux de détails et la synthèse.

5.2.3.2. Critique de l'existant

1. Prolifération des tableaux de bord, redondances et difficulté à s'y retrouver face à une question précise. Difficulté à cibler la communication en fonction de l'interlocuteur.

2. Faiblesse des tableaux de bord de contrôle de gestion interne (risques de gestion, qualité et productivité des développements, surveillance de la sous-traitance).

3. Le risque informatique opérationnel n'est pas intégré. Par exemple il est difficile d'avoir une idée sur le niveau global de risques de la sécurité du dispositif opérationnel. Les informations sur les incidents ne constituent pas un échantillon représentatif de la qualité perçue par l'utilisateur.

4. Libellés des incidents peu explicites, typologie des causes très faible, évaluation des impacts à la louche, aucune échelle de gravité hormis la dichotomie grave : manque de maitrise sur la prévision des conséquences différées et multiples d'un incident (cascades de relations causes impacts) ;

5. Focalisation sur les incidents graves, mais peu sur les dysfonctionnements chroniques et les incidents récurrents.

6. Peu d'audit sur les incidents graves ;

7. Peu de sanctions réelles sur le non respect des clauses de qualité de service : suivi de la rapidité et l'organisation du dispositif de résolution des incidents, efficacité des mesures correctives et préventives après l'intervention à chaud.

8. Aucune analyse des récurrences et des réapparitions d'anomalies ; il manque un bureau de suivi de la qualité en prise directe sur l'exploitation, effectuant les interprétations des indicateurs et doté d'outils d'analyse statistiques et de reporting. Aucune étude sur les chaines de causes, la fréquence et la répartition des incidents sur une échelle de gravité. Peu de mesures préventives résultant de la détection de l'émergence probable d'une détérioration.

9. Faiblesse de la communication externe : peu de feed back sur la perception réelle de l'incident par les utilisateurs. L'incident est surtout vu de l'exploitation, sans prise en compte des effets secondaires perçus et de la gène globale occasionnée chez les utilisateurs.

10. Il faut aussi s'intéresser aux dégradations qui n'entrainent pas directement un incident, mais perturbent le bon fonctionnement des services utilisateurs (dégradations du temps de réponse, déni de service, mauvais fonctionnement des imprimantes).

11. C'est seulement pour les incidents graves qu'il existe une relation directe entre la qualification de l'incident et le franchissement d'un indicateur défini par le contrat de service. Le suivi de la réalisation des contrats de service passés avec les utilisateurs doit aussi être effectué même quant il y a pas d'incident.

12. Les enquêtes de satisfaction et de benchmarking doivent pouvoir être rapprochés des indicateurs du tableau de bord.

5.2.4. L'organisation du help desk

Le help desk reçoit les appels des utilisateurs, dont un grand nombre est traité par le serveur vocal interactif. L'annuaire d'entreprise permet d'identifier l'appelant et les personnels des entités appelées. Le référentiel des applications est utilisé pour trouver les responsables de codes transactions ou de codes d'applications. La base de connaissances contient les scripts de résolutions applicables aux problèmes déjà connus et permets de recherches de personnes et de solutions à partir des catégories, rubriques, objet, du code de transaction ou par mots clé.

Un objectif qualité est par exemple que de 60 % des incidents soient traités et clôturés à J, sachant que 40 % des appels portent sur les applications au sens large. Les appels fonctionnels et applicatifs sont ventilés à nouveau sur les niveaux 2 et 3 du support. Les problèmes techniques sont transmis directement à la Direction informatique.

Quatre processus ont été identifiés :

La gestion des incidents L'assistance aux métiers L'assistance au poste de travail

L'assistance à l'insertion

Les procédures détaillées décrivant l'organisation, le flux, les rôles et les responsabilités de chacun des acteurs du processus d'assistance métiers doivent être mises à jour. Il est vrai que la multiplicité des acteurs et la dilution des responsabilités sur le sujet permettent bien des dérives.

Conclusion

Quoi qu'il en soit, un risque opérationnel mal apprécié peut entraîner des conséquences gravement préjudiciables pour toute institution financière. Les effets de la globalisation, de l'instabilité climatique, de la montée du terrorisme, de la crise financière, de la multiplication des nouvelles technologies ont provoqué un accroissement relatif du risque opérationnel.

Une fois qu'il est spécifié dans ses grandes lignes, un modèle de mesure, indépendamment de sa forme et de son degré de technicité, doit impérativement s'ancrer dans un système intégré de gestion du risque opérationnel. Cela permet de se sentir confortable sur deux points. Au fur et à mesure du développement du modèle de mesure, on est assuré que les différentes hypothèses, modifications et aménagements divers sont envisagés en cohérence avec la ligne directrice fixée par le Risk management. Et c'est aussi une garantie que ces ajustements successifs s'alignent sur les processus de gestion déjà en place dans l'institution.

La réforme de Bâle II contraint les institutions bancaires européennes à mieux comprendre, quantifier et maîtriser le risque opérationnel. Il est clair cependant, qu'il n'existe pas, et qu'il n'existera probablement jamais, de solution «clés en main» face à ce type de risque. Simplement, il est indéniable qu'en actionnant une infrastructure de support et en réduisant leur temps de réaction, les banques font un premier pas de géant vers une stratégie globale plus performante.

Bibliographie

Ouvrages

Bessis J, Gestion des risques et gestion actif-passif des banques, Paris, Dalloz

Crouhy, Galai et Mark R(2001), Risk management :comprehensive chapters on markets, credit and operational risk, features an integrated Var framework, hedging strate gies for reducing risk, New York: Mc Graw Hill

Cruz M(2002) Modeling and measuring operational risk, New York, Wiley

Dietsch M et Petey J(2008) Mesure et gestion du risque de crédit dans les institutions financieres. Edition Paris Revue Banque Edition

Dupré D et El Babsiri M(1 997), Techniques pour la gestion actif /passif, Paris Eska Jacob H et Sardi A(2001), Management des risques bancaires, édition AFGES

Jiménez Ch. et Merlier P et Chelly D,(2008), risques opérationnels : de la mise en place du dispositif à son audit, Paris :Revue Banque Edition ,

Documents officiels

Basel Committee on banking Supervision, Banks interactions with highly leverated institutions et sound practices for banks interactions with highly leveraged institutions, January 1999

Basel Committee on Banking Supervision, Sound Practices for management and Supervision of Operational Risk, July 2002

Basel Committee on Banking Supervision, Quantitative Impact Study 3 Technical Guidance, October 2002

Basel Committee on Banking Supervision, Amendment of capital Accord to Incorporate Markets Risks, January 2003

Basel Committee on Banking Supervision, Sound Practices for management and Supervision of Operational Risk, February 2003

Basel Committee on Banking Supervision, The new Basel Capital Accord, Basel Committee on Banking Supervision, Consultative Document, April 2003

Basel Committee on Banking Supervision, Guidelines for Computing Capital for Incremental Default Risk in the trading Book, October 2007

Sites internet

www.bis.org : site de référence pour les documents officiels de la BRI édictés par le Comité

www.banque-France.fr : site de la Commission Bancaire concernant la règlementation Française.

http://www.opriskandcompliance.com : le journal du risque opérationnel.

http://www.ecb.int : Banque centrale Européenne / Eurosystème

www.gloriamundi.org : site de référence sur la Var (derniers articles de recherche en ligne). http://www.afdb.org : banque africaine de développement

http://www.federalreserve.gov : Banque fédérale Américaine.

http://www.pwc.com : Auditeurs PriceWaterHouseCoopers

Articles

Himino R(2004), Bale ou définition d'un langage commun, Rapport trimestriel de la Banque des Règlements Internationaux, Sept.

Pennequin M(2002) Problèmes méthodologiques - le risque opérationnel, Revue d'économie Financière.

Frantz Maurer (2006) Quelles données pour le risque opérationnel ? Banque Stratégie numéro 242.

Autres.






Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy








"Le don sans la technique n'est qu'une maladie"