Introduction 8

1ère partie : Les risques opérationnels et les banques aujourd’hui 19

Chapitre 1 : La place des risques opérationnels vis à vis de la réglementation 21

I – Une évolution récente de la réglementation 21

II - Evolution récente qui se concrétise au niveau des fonds propres 31

Chapitre 2: L’évolution organisationnelle des banques selon les risques opérationnels 44

I – Une organisation pyramidale 44

II – La difficile prise en compte du risque opérationnel à tous les niveaux de la banque

52

Chapitre 3 : L’ontologie des risques opérationnels 57

I – Les composantes du risque opérationnel 57

II – L’absence de maîtrise du risque opérationnel : cause de nombreuses sanctions 72

2ème partie : La cartographie des risques opérationnels permet de renforcer le contrôle

interne des banques 80

Chapitre 1 : Comment la cartographie des risques opérationnels permet de se doter d’un

cadre commun de maîtrise des risques 85

I – La démarche de la cartographie des risques opérationnels 85

II – « Articulation et application symbiotique » de la cartographie des risques

opérationnels par le Contrôle Permanent et par le Contrôle Périodique 104

Chapitre 2 : La cartographie des risques opérationnels, un nouvel outil stratégique des

banques, à quelles fins ? 112

I – Saine gestion des risques opérationnels 112

II – La cartographie des risques opérationnels, un outil opérationnel 123

Conclusion 133

Bibliographie 140

8
Introduction

9
« La vraie perfection est stérile, alors que l’imperfection mesurée est génératrice
de nouveauté ».

Trinh Xuan Thuan.

10
« Si la matière vivante était une machine parfaite, programmée pour se
reproduire à l’infini immuablement et éternellement semblable à elle – même,
sans la moindre variation, la vie n’aurait pu évoluer. Elle serait restée pour
toujours au même stade primitif. C’est grâce à des imperfections de reproduction
que des structures nouvelles peuvent apparaître et que la vie peut évoluer » 1.

Cet extrait reflète, à mon sens, l’évolution des risques bancaires vers un risque
plus spécifique : le risque opérationnel. En effet, il est vrai que le domaine
bancaire subit des mutations tant l’environnement économique et financier
devient source de risque, d’autant plus que l’activité bancaire côtoie les risques
en permanence. Les événements financiers de ces dernières années
(effondrement de la Barings, affaire du Sentier, ou encore l’affaire Sumimoto),
ont eu des conséquences sur la prise de conscience des risques opérationnels.
Les risques opérationnels muent : certains apparaissent alors que d’autres
disparaissent. Pour de nouveaux risques une nouvelle réglementation était
nécessaire.

Il est coutume d’illustrer cette prise de conscience des risques par un fait
historique : il s’agit de la crise de 1929 ou « jeudi noir ».
Cet évènement se manifesta par une chute des cours des actions à Wall Street où
tous les gains d’une année de hausse furent perdus. Le « krach boursier » a été
consécutif à un nouveau système d’achat à crédit d’actions, qui depuis 1926 était
permis à Wall Street. Suite à la hausse des taux d’intérêt en avril 1929, à la
stagnation des cours, le remboursement des intérêts était devenu supérieur aux
gains boursiers et de nombreux investisseurs furent contraints de vendre leurs
titres pour couvrir leurs emprunts, ce qui poussa les cours à la baisse et
déclencha une réaction à la chaîne. De là, prés de 9000 banques, disparurent en
trois ans par un effet « dominos » qui conduisit des banques à faire faillite du
2
seul fait de la chute d’autres banques (leurs débitrices), et par les « runs » qui

1
Trinh Xuan Thuan, Le chaos et l’harmonie, France Loisir, 1998.
2
Ruées.

11
conduisirent les déposants paniqués à retirer en masse leurs dépôts, amenant les
banques à une crise de liquidités.
En réaction à ce vent de panique et aux faillites en chaîne des banques, tout le
système bancaire fut fermé 1. Dés lors, le krach boursier devint une vraie crise
bancaire, qui se transforma en crise économique mondiale (baisse des prix,
faillite de nombreuses entreprises, réduction de la consommation, chômage ou
encore, effondrement de la monnaie) qui eut des conséquences politiques
(montée des dictatures et des régimes autoritaires) expliquant en partie la
deuxième Guerre Mondiale.

Un modèle financier a été mis en place aux Etats – Unis suite à cette crise
financière de 1929.
En effet, l’administration américaine y a répondu par deux types de mesures :
d’une part, un renforcement de la répartition des activités avec le Glass Steagall
2
Act, qui séparait les opérations de collecte de dépôts et d’investissement, et qui
s’ajoutait au 3 instaurant des limitations géographiques
Mac Fadden Act
d’activités ; d’autre part la création d’une garantie des dépôts destinée à éviter la
fuite des épargnants et les crise de liquidité.

La France de son côté, a complété son modèle d’organisation bancaire dans le

même esprit après la deuxième guerre mondiale. Un ratio de liquidité fut crée en
1948 pour s’assurer des capacités immédiates du système bancaire à faire face à
ses engagements.

1
On parle en générale de « risque systémique » : c'est l'effet « boule de neige ». Il résulte de
l'incapacité d'une institution financière à faire face à ses engagement entraînant pour d'autres
établissements l'impossibilité de faire face à leurs propres engagements.
2
Le Mac Fadden Act avait été mis en place aux Etats – Unis en 1927 afin d’éviter la constitution
de grandes banques à l’échelle nationale fédérale américaine, en empêchant un banque installée
dans un Etat Américain de s’installer également dans un autre Etat (www.lazyfrench.free.fr).
3
Le Glass Steagall Act, introduit en 1933 par Roosevelt après la crise de 1929 pour interdir aux
banques de dépôts de faire de la spéculation sur les valeurs mobilières (il a été officiellement
supprimé en 2000) (www.lazyfrench.free.fr).

12
Le dispositif général de régularisation prudentielle reposait ainsi sur deux piliers
destinés à éviter la diffusion systémique des crises : un classement des activités ;
une protection de la liquidité court terme des circuits financiers.
De plus la crise financière de 1987 mit en avant les risques auxquels pouvaient
être confrontées les banques. Cette crise eut pour effet que le Comité de Bâle
publia un projet de ratio de solvabilité qu’il adopta en 1988. Mais ce n’est qu’en
1993 que les travaux aboutirent.

Le ratio adopté en 1988 « Cooke » avait pour objectif de s’assurer de la relation

entre les fonds propres d’un établissement et de la taille de son activité.
Cependant l’instauration du nouveau ratio n’eut pas l’effet escompté en ce sens
où les banques ne disposaient pas d’outils performants de gestion interne.

Des dysfonctionnements sont apparus au sein des banques qui prenaient les
risques sous – estimés par le ratio tandis que les marchés financiers se
concentraient sur d’autres risques, plus importants.

Ainsi, c’est dans ce contexte que la réforme de Bâle II est venue pallier ces
dysfonctionnements en proposant des règles qui devraient s’appliquer de façon
cohérente par toutes les banques du monde.

Les principaux dispositifs visant à réduire les risques opérationnels trouvent

leurs origines au début des années quatre – vingt – dix, en France, avec la lutte
contre le blanchiment des capitaux (loi du 12 juillet 1990), la mise en place du
dispositif de contrôle interne (règlement CRBF 97/02), les mesures applicables
en matière de déontologie (Titre III du règlement générale du Code Monétaire et
Financier), le dispositif de continuité des activités (règlement CRBF 2004/02),
les obligations en matière de conformité et de contrôle permanent (arrêtés du 31
mars 2005 portant réforme du CRBF 92/02) et la loi de Sécurité Financière (17
juillet 2003). C’est seulement à partir de 2000 que la réglementation prudentielle

13
des accords de Bâle II s’est traduite par la mise en œuvre d’un nouveau projet
réglementaire.
L’idée du Comité de Bâle dans cette réforme a été de créer lui – même le modèle
interne des banques en fixant notamment les normes d’adéquation des fonds
propres et son mode de calcul pour répondre à cet impératif d’adéquation.
En effet, la solvabilité des banques doit désormais être surveillée par les autorités
de régulation. Afin de tenir compte des changements de profils des risques des
banques, une nouvelle politique prudentielle modulant le besoin réglementaire en
fonds propres des banques en fonction de leurs risques a donc été instauré.
Cette nouvelle politique du risque a acquis une dimension internationale.

Au niveau européen, la Commission européenne a proposé le 14 juillet 2004 un

projet de directive (sur la solvabilité CRD) visant à traduire dans un texte
réglementaire les recommandations de Bâle II. Ce texte a été adopté le 11
octobre 2005 par le Conseil des ministres européens.
Cette directive a pour but d’assurer une application « cohérente » dans toute
l’Union Européenne du nouveau cadre international concernant les exigences en
fonds propres.
Ce texte modernise la directive mise en place en 1988 et rend obligatoire
l’application du nouveau ratio de solvabilité.
Cela étant la directive a inséré des spécificités dans le nouveau régime.
En effet, alors que Bâle II préconise le principe de surveillance des risques au
niveau consolidé, la directive pose la surveillance sur base individuelle comme
principe.
Ensuite, la directive met en place des procédures qui doivent assurer la
cohérence et la convergence de la supervision et éviter toute distorsion de
concurrence et de possibilité d’arbitrage réglementaire entre les Etats membre.
Autrement dit les autorités de surveillance nationales seront tenues de collaborer
plus étroitement entre elles, notamment pour autoriser l’utilisation par les
institutions financières des méthodes plus sophistiquées. Selon la directive, le
comité européen des contrôleurs bancaires (CEBS) aura un rôle important à jouer
pour assurer la cohérence des approches des diverses autorités de surveillance.

14
Du côté des Etats – Unis, les superviseurs bancaires ont reporté d’un an l’entrée
en vigueur de le réforme Bâle II (c’est – à – dire en 2009) 1.
La question qui se pose est de savoir quelles sont les conséquences de ce report
pour les banques américaines ?
Tout d’abord, toutes ne sont pas concernées. En effet, si en Europe, toutes les
banques et les institutions financières sont soumises à un calendrier unique –
proche de celui envisagé par le comité de Bâle – il en va différemment pour la
réforme du ratio de solvabilité aux Etats-Unis.
Le calendrier a été scindé en trois parties : pour les banques d’investissements,
pour les banques locales et régionales et enfin pour les banques commerciales.

Les banques d'investissement ont suivi le calendrier le plus ambitieux. Héritage

de la séparation des activités financières, ces institutions n'avaient pas de
superviseur sur base consolidée avant 2004. C'est pour leur permettre de
répondre aux exigences de la directive européenne sur les conglomérats
financiers que la Securities and Exchanges Commission (SEC) a publié en juin

2004 une règle d'adoption – volontaire – de Bâle II.

Près de 9 000 banques locales et régionales ne seront pas soumises à Bâle II. Les
coûts de mise en œuvre ont été jugés excessifs pour ces institutions dont 80 % ne
dépassent pas le milliard de dollars d'actifs. Afin d'améliorer la sensibilité aux
risques du dispositif actuel tout en limitant son coût, les régulateurs ont proposé
une approche simplifiée, permettant le recours aux notations d'agence, comme
dans l'approche Bâle II standard mais sans traitement distinct du risque
opérationnel.

1
Il faut préciser que les méthodes les plus avancées proposées par Bâle II – et qui génèrent les
plus grandes économies de fonds propres – ont été calquées sur les « meilleures pratiques » de
gestion du risque, appliquées depuis longtemps par les grandes banques américaines.

15
Enfin, les régulateurs avaient initialement désigné une dizaine de grandes
banques commerciales, actives internationalement, pour une application
obligatoire des méthodes avancées de Bâle II. Avec les adoptions volontaires
(« opt-ins »), ce sont une vingtaine de banques qui sont concernées par le report
du calendrier.

Alors que Bâle II prévoit deux années de transition avec application de planchers
de fonds propres, les superviseurs américains ont, quant à eux, décrété trois

années d'application de ces planchers – 95 % des exigences actuelles la première

année, puis 90 % et 85 % les deuxième et troisième années.

En l'état actuel des calendriers américains et européens, les banques européennes

seront soumises à un plancher de 80 % en 2009, après avoir calculé le nouveau
ratio sur deux années complètes. Les banques américaines, en revanche,
basculeront effectivement au 1er janvier 2009 avec un plancher de 95 %.

L'écart culminera en 2010 et 2011, quand les banques européennes pourront

utiliser le dispositif Bâle II pour calculer le capital réglementaire sans la
contrainte de planchers. En d'autres termes, deux ans avant leurs homologues
américaines, les banques européennes vont pouvoir retirer les bénéfices de leur
investissement Bâle II sous forme d'économies de fonds propres réglementaires.

L'année de décalage compliquera le problème des relations entre régulateurs

pour la supervision des groupes internationaux. Dans quelle mesure les
superviseurs des pays accueillant des filiales de banques américaines
accepteront-ils de se fier à un dispositif (données et systèmes) non encore
homologué dans le pays d'origine du groupe ? Que vont-ils demander au niveau
local ? Les groupes bancaires s'inquiètent des exigences accrues que des
régulateurs insatisfaits des standards de supervision au niveau consolidé
pourraient appliquer aux activités dans les pays dont ils ont la charge.

16
Ceci étant précisé, outre la prise de conscience des risques opérationnels à part
entière parmi les risques bancaires, et l’intégration des risques opérationnels
dans la calcul des fonds propres, le deuxième point important de Bâle II, est la
cartographie des risques opérationnels.

La cartographie des risques opérationnels consiste en une démarche participative

(entretiens avec les différents directeurs, responsables de services ou
collaborateurs de la banque), et progressive (description des processus, cotation,
fréquence/impact et hiérarchisation des risques opérationnels). Cette démarche a
pour finalité d’appréhender le niveau d’exposition aux risques d’une entité dans
l’ensemble de ses activités.
En effet, la cartographie des risques opérationnels résulte d’une démarche
analytique fondée sur le jugement , l’expérience et le professionnalisme des
collaborateurs de la banque. Les collaborateurs sont considérés comme des
« acteurs » des risques au quotidien, et c’est la raison pour laquelle ils sont placés
au centre de la démarche de la cartographie des risques opérationnels.

Outre la fonction de miroir que peut avoir une cartographie des risques
opérationnels, celle – ci permet l’identification, l’évaluation ainsi que la
hiérarchisation des risques opérationnels recensés. Elle constitue une première
base de connaissance globale des risques opérationnels à l ‘échelle de
l’entreprise et de leur niveau de maîtrise perçus , de manière à mobiliser tous les
collaborateurs de la banque afin de répondre à l’exigence de « saine gestion des
risques opérationnels » préconisée par Bâle II.

Cette nouvelle exigence de Bâle de « saine gestion des risques opérationnels »

amène à se demander de quelle façon la cartographie des risques opérationnels
peut satisfaire à une telle exigence ?

17
Dans le même ordre d’idées en quoi l’intégration des risques opérationnels dans
le calcul des fonds propres, à côté des risques de crédit et de marché, pourra t -
elle répondre à la problématique de solvabilité des banques ?
Enfin, est – ce – que ces deux innovations vont permettre de réduire réellement
les risques de faillites des banques, telles celles survenues ces dernières années ?

L’objectif de ce mémoire est de tenter de répondre à ces questions en s’articulant

sur deux axes.
Il convient tout d’abord dans une première partie, de s’interroger sur la place qui
est accordée aux risques opérationnels au sein des établissements bancaires
aujourd’hui.
Il convient ensuite dans une deuxième partie de préciser le rôle de la
cartographie des risques opérationnels au sein des établissements bancaires, et
d’examiner partuculièrement de quelle façon la cartographie des risques
opérationnels permet – elle de renforcer le contrôle interne des banques.

18
 ère
1 partie :

Les risques opérationnels et les

banques aujourd’hui

19
Chapitre1 : La place des risques opérationnels vis à vis de la
réglementation

La place des risques opérationnels a évolué vis à vis de la réglementation,

puisqu’une existence propre leur est désormais accordée par le nouvel accord
international sur la réglementation bancaire, dit « Bâle II ».
Ainsi, nous étudierons dans un premier temps, l’évolution récente des risques
opérationnels due à une nouvelle exigence du régulateur (A), notamment par les
apports de la réglementation Bâle II (B).
Ensuite nous verrons dans un deuxième temps, que cette évolution récente de la
prise en compte des risques opérationnels s’est concrétisée par une intégration au
niveau des fonds propres, des risques opérationnels (A) et ce, grâce à différentes
approches (B).

I – Une évolution récente de la réglementation

Bien que les risques soient aussi anciens que la banque, la notion de risques
opérationnels est quant à elle plus récente.
En réalité, c’est un prise de conscience de la gestion des risques opérationnels
qui s’accroît, d’où la problématique pour le régulateur d’ériger un cadre
réglementaire adapté à cette nouvelle notion. Ainsi est né le nouvel accord Bâle
II (B),qui impose aux établissements bancaires de maîtriser leurs risques
opérationnels (A).

20
A –La maîtrise des risques opérationnels, une nouvelle exigence
pour le régulateur

Les travaux de normalisation menés dans le secteur bancaire ont remis à

l’honneur, la notion de risques opérationnels.
Cette notion était déjà connue des établissements financiers puisque les risques
(qu’ils soient opérationnels, de crédit ou de marché) font partie intégrante des
activités de ces établissements, tant en ce qui concerne les processus de
conception, de production, de distribution, de traitement des produits et des
services bancaires.
Bien connus dans leur principe, les risques opérationnels étaient pris en compte
et gérés à travers l’activité bancaire elle – même.
Cependant, le régulateur a jugé important de replacer cette notion au premier
rang des préoccupations, notamment au travers de normes, communément
connues sous le terme de « Bâle II ».
La nouveauté tient à la diversité des risques auxquels les banques doivent faire
face et à l’ampleur particulière de certaines pertes, à leur soudaineté, et au fait
que les dirigeants soient surpris et dépassés par l’impact de ces risques 1.
Particulièrement sensibles dans le domaine bancaire, en raison de leurs
spécificités, et de leurs complexités économiques et juridiques, les risques
opérationnels, deviennent de ce fait, un nouvel enjeu dans la politique de gestion
des risques des banques.
Par conséquent, l’idée nouvelle, pour le régulateur, réside dans le fait que la
gestion des risques opérationnels devient une discipline autonome, à part entière,
2
avec ses propres outils de mesure et ses propres procédures de contrôle, tout
comme les risques de crédit et les risques de marché.

1
On peut penser ici au risque de blanchiment dans les banques (voir l’affaire du Sentier p. 59).
2
La cartographie des risques opérationnels par exemple.

21
D’où la nécessité pour les établissements bancaires de réviser leur politique de
gestion de leur risque en appréhendant l’ensemble des métiers et activités de la
banque.

Les nouvelles exigences du régulateur, ont pour objectif de rendre la gestion des
risques efficace en protégeant l’entreprise et en améliorant de manière rentable et
durable sa valeur.
Pour répondre à cette exigence de « saine gestion des risques », les banques
doivent respecter les normes prudentielles internationales, définies par le Comité
de Bâle II, en prenant en compte les risques opérationnels et en les intégrant dans
le calcul de leur fonds propres.
Pour atteindre cet objectif, l’innovation a été de préciser le niveau de fonds
propres minimum que doit respecter chaque banque, en fonction des risques
qu’elle encourt.
Ainsi, en imposant aux banques le nouveau ratio Mc Donough, le Comité de
Bâle entend assurer la solidité de l’ensemble du système financier international.

En France, le régulateur avait déjà réfléchi aux risques opérationnels dans

différents textes tels que le Livre Blanc sur la sécurité des systèmes
1
d’information ou le Règlement CRBF 97/02 sur le contrôle interne . Cependant
ces textes ne permettaient pas de donner à la maîtrise de ces risques un cadre
adapté tant dans leur mesure, que dans la mise en place d’un dispositif de
prévention.

1
Le Comité de la réglementation bancaire et financière. Ce Comité a pour mission de fixer
« dans le cadre des orientations définies par le gouvernement et sous réserve des attributions du
Comité de la réglementation comptable, les prescriptions d'ordre général applicables aux
établissements de crédit et aux entreprises d'investissement ». Les domaines de compétence du
Comité sont déterminés par la loi.

22
 Le régulateur a donc que soit identifier et évaluer ces risques opérationnels car
ils sont présents à tous les niveaux avec une imbrication des évènements et des
conséquences.

Causes Evènements Effet

Inadaptation des
procédures ; Pertes
évènements directes

A travers cette définition, il en résulte que l’on part des effets quantifiables (risques ; pertes) pour
remonter aux causes (évènements de risques)

De même, ces risques sont, d’une part, difficiles à mesurer parce – qu’ils
combinent des pertes directes et indirectes, et d’autres part , ils sont ardus à
gérer car ils s’appliquent transversalement sur l’ensemble des métiers, avec
des causes (internes, externes) et des conséquences (financières, image)
diverses.

23
B – Le vrai apport de Bâle II

Les normes prudentielles ont été définies par le Comité de Bâle.

Ce Comité a été institué à la fin de 1974, sous l’appellation de « Comité des
règles et pratiques de contrôle des opérations bancaires », par les gouverneurs
1
des banques des pays du Groupe des Dix , à la suite de perturbations sur les
marchés bancaires et monétaires internationaux (notamment la faillite de la
banque Herstatt2 en Allemagne occidentale).

1
Le Comité rassemble les autorités de contrôle des banques des pays les « plus industrialisés ». Il
est composé des hauts représentants des autorités de contrôle bancaire et des Banques centrales
du G10 (Allemagne, Belgique, Canada, Etats-Unis, France, Italie, Japon, Luxembourg, Pays-
Bas, Royaume-Uni, Suède et Suisse). Les réunions ont habituellement pour cadre la banque des
règlements internationaux, à Bâle, siège de son secrétariat permanent. Ce comité a été crée à
l’origine pour surveiller les produits dérivés et la gestion des banques dans les pays du G10. Il
s’est attaché par la suite à définir des règles de solvabilité bancaire

2
Au début des années 1970, la banque était très active sur le marché des changes, mais elle s’est
vue retirée son agrément pour cause de faillite par les autorités allemandes De nombreuses
contreparties lui avaient adressé des paiements (irrévocables) en DEM (The Deutsche Mark) par
l'intermédiaire du système de compensation allemand.
Ces contreparties attendaient des USD (The United State Dollar) qui devaient être réglés un peu
plus tard (il n'était que 10h30 au Etats-Unis) par le correspondant à New -York de la banque
Herstatt.
Or, dès que ce correspondant eu connaissance de la fermeture de la banque, il gela tous les
paiements.
Les contreparties perdirent donc instantanément les fonds qu'elles devaient recevoir.
Ceci entraîna un effet « boule de neige » car d'autres banques, qui n'étaient pas forcément
impactées directement par la faillite de la banque Herstatt, refusèrent d'ordonner des paiements
sans avoir la garantie de recevoir la contre-valeur.
Ceci provoqua une crise au sein du système de compensation utilisé à New - York.
Depuis, l'histoire s'est répétée : faillite du groupe Drexel Burnham Lambert en 1990, fermeture
de la BCCI (Bank of Credit and Commerce International) en 1991, Baring Brother en 1995…
Ce risque est depuis appelé risque de principal ou risque « Herstatt ». Par ailleurs il a montré
l'existence de risque systémique (la défaillance d'un établissement entraîne la défaillance

24
Le Comité n’est investi d’aucune autorité supranationale officielle en matière de
contrôle, mais il constitue, pour ses pays membres, un forum de coopération
régulière en matière de contrôle bancaire.

Le Comité a étudié un certain nombre de questions se rattachant aux contrôles

des banques internationales et il s’est particulièrement penché, ces dernières
années sur l’adéquation de fonds propres des établissements financiers.

En 1988, le comité de Bâle mit en place le premier accord de Bâle, appelé ratio
Cook ou Bâle I. Ce ratio avait comme objectif de renforcer la solidité et la
stabilité du système bancaire international ainsi que d'atténuer les inégalités
concurrentielles entre banques. Basé sur une méthodologie simple, il établissait
1
un minimum d'exigence de couverture des risques de crédit par des fonds
propres. Le ratio Cook a été complété par un amendement introduisant le suivi
des risques de marché 2. Ce ratio devait être respecté par tous les établissements
financiers.
Le capital réglementaire instauré par l'accord de Bâle I représentait le niveau
minimum de fonds propres que la banque devait détenir pour assurer la
protection des déposants et la stabilité du système financier. Son niveau était fixé
par le Comité de Bâle.

Cela étant, les activités bancaires amenant les banques à prendre des risques
pouvant générer des pertes, varient dans le temps et en fonction des types

d'autres établissements) notamment du fait de l'internationalisation des échanges, des décalages

horaires entre les différents systèmes de règlement, et des volumes considérables qui sont
échangés.

1
Le risque de crédit représente le risque de défaillance d'une contrepartie sur une opération
financière par rapport aux termes et conditions du contrat.
2
Le risque de marché représente la perte potentielle due aux variations des taux de change, des
taux d'intérêt, des prix des matières premières et des prix des actions.

25
d'activités exercées. C’est pour cette raison que la banque se devait de disposer
de fonds propres suffisants pour couvrir ces pertes et poursuivre son activité.
Ainsi, depuis 1998, le comité de Bâle a lancé la réforme Bâle II du ratio Cook
dont les objectifs sont de définir un ratio illustrant les risques réellement
encourus par les banques, en définissant un cadre complet pour l’appréciation
des risques bancaires.
Il s’agit en outre, de définir un « capital réglementaire » applicable par toutes les
banques du monde, en les incitant à adopter le nouveau dispositif Bâle II pour
« assurer un degré suffisant d’harmonisation afin d’éviter que les règles relatives
à l’adéquation des fonds propres, deviennent un facteur sensible d’inégalité
concurrentielle entre banques internationales » 1.
Cette réforme est donc justifiée « par la nécessité de renforcer la sécurité des
activités bancaires, dans le contexte de la mondialisation » 2.

Historiquement, une partie des fonds propres destinées à la couverture du risque

de crédit et du risque de marché, couvrait implicitement le risque opérationnel.
La démarche du Comité de Bâle, vise désormais à donner un calcul plus élaboré
et plus adapté des fonds propres au titre du risque de crédit, ceci ayant abouti à
un calcul explicite d’une charge en capital pour les risques opérationnels.

En effet, l’objectif du Comité de Bâle II est « d'aligner les exigences

réglementaires en matière de niveau des fonds propres avec les risques sous-
jacents et de fournir aux banques et leurs autorités de supervision plusieurs
alternatives pour l'évaluation de l'adéquation des fonds propres » (W.J. MC
Donough). Ainsi, la promotion de saine gestion des risques, garante de la
stabilité et de la sécurité du système financier international, et l’allocation de
fonds propres pour les risques opérationnels, constituent les innovations de la
Réforme de Bâle II.

1
Convergence Internationale de la mesure et des normes de fonds propres, Comité de Bâle sur le
contrôle bancaire, juillet 1988.
2
Analyse et Documents Economique, février 2004.

26
Les risques opérationnels, au sens du Comité de Bâle, se définissent comme
étant « les risques de pertes résultant de l’inadaptation ou de la défaillance de
procédures internes, de personnes et de systèmes, ou résultant d’évènements
extérieurs ».
En outre, cette réforme s’attaque au processus métier d’évaluation et de gestion
des risques, dans une perspective qualité (vis à vis de la clientèle, des autorités de
contrôle, notamment avec les normes ISO), et va au-delà de la dimension
financière (qui est le calcul de fonds propres à allouer) puisque Bâle II prend en
compte et place ses exigences sur les systèmes de notation et de surveillance.

Le ratio Cook retenait une pondération rigide des risques liée seulement à la
nature juridique du débiteur (entreprise privé / collectivité publique…), à la
localisation du risque (pays membre de l’OCDE / autre pays…) ou au type de
crédit (crédit à la consommation / crédit hypothécaire…). Mais le nouveau ratio
MC Donough, lui, adopte une pondération plus souple, notamment en ventilant
plus précisément chaque risque de crédit en fonction, soit de la notation externe
des emprunteurs, soit de leur probabilité de défaillance calculée sur une durée
longue pour chaque banque (notation interne).
Désormais, à côté des risques de crédit, le ratio MC Donough retient comme
dénominateur le risque opérationnel et les risques de marché pour le calcul des
fonds propres à allouer.
Enfin, la réforme Bâle II retient une approche plus qualitative avec deux
nouveaux piliers (piliers 2 et 3). Le pilier 2 offre la possibilité pour les autorités
de contrôle d’exiger un ratio plus élevé que le minimum réglementaire si une
banque n’a pas mis en place des procédures de contrôle interne adéquates. Le
troisième pilier encourage les banques à publier la composition de leur fonds
propres pour permettre une transparence financière vis à vis des autres banques.

Les nouveautés de la réforme Bâle II sont donc essentiellement axées autour de

ces trois piliers :
Tout d’abord, il faut noter que calcul des fonds propres, est basé sur des
fonctions construites à partir de modèles de gestion du risque de crédit existants.

27
 Ainsi l'exigence en fonds propres repose sur un ou plusieurs indicateurs 1 reflétant
le degré de risque opérationnel encouru par les banques.
Ceci étant, la Réforme Bâle II, laisse une assez grande liberté aux établissements
bancaires et aux autorités nationales en ce qui concerne la méthode à adopter
pour la mise en œuvre des dispositions de Bâle II. En effet, le Comité de Bâle
laisse la possibilité aux établissements financiers d’adopter la méthode qui leur
semblerait la plus adaptée au regard de leurs activités et/ou de leur localité pour
le calcul de leurs besoins en fonds propres.
Cependant l’application et la détermination de la méthode doivent être
« homogènes » vis à vis des autres banques pour répondre à un objectif
d’harmonisation des réglementations.

Le pilier 1 vise à évaluer les risques portés par un établissement et de déterminer

les fonds propres minimaux nécessaires à la couverture de ces risques.
La logique serait identique à celle du ratio Cook pour l’exigence en fonds
propres, puisqu’elle doit être équivalente à 8% du total des risques de crédit, de
marché et opérationnels mesurés.

Le pilier 2 a pour objectif de renforcer la surveillance prudentielle par les

superviseurs nationaux : il est demandé aux banques de disposer de procédures
d’évaluation de leurs fonds propres conformes aux risques portés.

Le pilier 3 incite les banques à adopter un principe de transparence financière,

c’est – à – dire d’opter pour une communication financière améliorant la
discipline de marché.

1
Un indicateur est une variable simple ou complexe permettant d'apprécier une situation ou de
mesurer des changements intervenus (ou des différences) par son suivi et/ou sa comparaison dans
le temps. Un indicateur permet ainsi de quantifier de façon objective un niveau d'exposition au
risque opérationnel et de suivre sa dégradation ou son amélioration. C’est un outil décisionnel qui
permet de mesurer l'efficacité d'un dispositif mis en place.

28
 En effet, les établissements sont tenus de publier des informations complètes sur
la nature, le volume, et les méthodes de gestion de l’ensemble des risques, ainsi
que de l’adéquation des fonds propres disponibles au regard de ces risques.

En somme, l'introduction des piliers 2 et 3 devrait conduire à une surveillance

prudentielle accrue et à une meilleure discipline de marché.
Ces piliers contribueront à renforcer le contrôle interne et le rôle du régulateur
externe par une élévation des exigences en matière de communication financière
et de transparence.

Accord de Bâle II sur l’adéquation

des fonds propres

Pilier 1 Pilier 2 Pilier 3

Charge en capital Supervision des Discipline de marché

Le calcul des fonds propres avec procédures La communication
les trois méthodes de calcul Les saines pratiques de gestion des
risques

La vue externe du marché

La vue des autorités de régulation
et de contrôle La vue interne des banques

Les trois piliers de la réforme Bâle II

29
II – Evolution récente qui se concrétise au niveau des fonds
propres

La mise en oeuvre de la réforme Bâle II dans les établissements bancaires devrait

avoir une incidence à la fois sur leurs modèles de quantification des risques, leur
organisation interne, leurs métiers et leurs systèmes d'information. En pratique,
cette réforme impose dans un premier temps de choisir et de mettre en place des
modèles de mesure de risques complexes avec des contraintes de délais.

30
A – Intégration des risques opérationnels dans les fonds propres

Le nouveau ratio MC Donough doit être mis en place au sein des banques d’ici
fin septembre 2006. Il impose aux établissements financiers de mobiliser une
partie de leurs fonds propres en couverture de leurs expositions aux risques de
crédit, de marché et nouvellement, aux risques opérationnels. Ces fonds propres
doivent, selon le Comité de Bâle II, être calculés sur la base de leurs données de
risques internes plutôt que sur un système forfaitaire.
La réforme Bâle II « vise notamment à permettre une meilleure adéquation entre
1
capital réglementaire et capital économique : les banques doivent détenir du
capital plus en fonction de leur profil de risque » 2.
Ainsi, les fonds propres réglementaires doivent correspondre avec les objectifs
de rentabilité financière de la banque.

1
Le capital économique relève d’une démarche de direction générale au service des actionnaires
ou des sociétaires, et non de celle du régulateur, et doit, au sein des banques, conserver son
propre mode de gestion.
2
« Bâle II, un bilan après deux ans de négociation », Flash Cdc Ixis mars 2003.

31
B – La quantification du risque opérationnel pour le calcul des
fonds propres

La réglementation prévoit trois méthodes de calcul applicables pour le calcul

d’exigence en fonds propres qui sont évolutives puisque le régulateur incite les
établissements à adopter la méthode la plus avancée (car moins consommatrice
en fonds propres réglementaires).

1) les différentes méthodes proposées par Bâle II

Les trois méthodes de mesure du risque opérationnel proposées par Bâle II, n’ont
pas la même sensibilité à ce risque mais quelque soit la méthode retenue,
l’approche quantitative (fonds propres) doit être complétée par l’approche
qualitative (saines pratiques), c’est – à – dire une saine gestion des risques
opérationnels.
Pour cela, le Comité de Bâle a proposé trois types de méthodes permettant
d’intégrer les risques opérationnels dans le calcul des fonds propres.

Exigence de qualité de la gestion du risque

Approche Indicateur Approche

de base (BIA) Approche standard
(TSA) Mesures
Avancées

+ Niveau des exigences en fonds propres

1
Corrélation entre l’exigence en Fonds propres & la gestion des risques

1
Documentation interne BRED.

32
a) La méthode Indicateur de Base (BIA)

La méthode Indicateur de base (BIA) constitue la méthode de base pour le calcul

des fonds propres.
Cette méthode nécessite aucun critère d’éligibilité pour son application, compte
tenu de son caractère simple.
En effet, cette méthode consiste à appliquer un pourcentage fixe (Alpha qui est
égal à 15% coefficient fixé par la Comité, représentant la proportion entre le
niveau de fonds propres de l’ensemble du secteur bancaire et l’indicateur
correspondant) à un indicateur (qui est le produit annuel brut 1 (s’il est positif) sur
les trois dernières années) d’exposition reflétant le niveau d’activité de la
banque, et donc son degré potentiel d’exposition aux risques opérationnels (EI).

Exigence en fonds propres risques opérationnels (FPRO) = α . EI

1
« Le produit brut correspond aux produits d’intérêts nets et autres produits d’exploitation
(définis au niveau national, par les autorités de contrôle et/ou les normes comptables nationales).
Il exclut les provisions (pour intérêts impayés par exemple) ; les frais d’exploitation dont les
commissions versées aux prestataires de services d’externalisation ; les plus ou moins-values
réalisées sur les cessions de titres du portefeuille bancaire ; les éléments exceptionnels ou
inhabituels et produits des activités d’assurance » - « Convergence Internationale de la mesure et
des normes de fonds propres », Comité de Bâle sur le contrôle bancaire, juin 2004.

33
b)La méthode standard (TSA)

Dans cette méthode, les activités des banques sont réparties en huit lignes de
métier.

Cette méthode standard est liée aux produits nets bancaires métiers multipliés par
un facteur de pondération reflétant le risque lié à l’activité donné par le
régulateur.
Pour adopter cette méthode, les banques doivent répondre à certains critères
d'éligibilité sur la qualité du système de gestion des risques et sur le suivi
notamment des données de pertes.
Le niveau des fonds propres du risque opérationnel se calcule comme suit :

Fonds Propres (FPRO) = Σ ßi* PNBi

Ainsi pour chaque ligne de métier (i), un indice d'exposition unique (PNB)
multiplié par un facteur de pondération (ßi) reflétant le risque lié à l'activité.

34
 Activités Coefficient
Lignes métiers ßi (%)
Financement Fusions/ acquisitions, émissions, 18%
d’entrepriseß1 privatisation, dette publique, syndication,
titrisation
Négociation et Négociation sur marchés de capitaux 18%
ventes (marché de (actions obligations), marché monétaire
capitaux) ß2 (prêts/ emprunts),…
Paiements et Paiements domestiques, transferts de 18%
règlementsß3 fonds, règlements interbancaires,
compensation, correspondant banking
Service d’agence ß4 Conservation de titres, service aux 15%
émetteurs, prêts de titres
Banque Effets de commerce, financement export, 15%
commercialeß5 commerce international, financement de
projet, leasing, factoring
Gestion d’actifsß6 Gestion de fonds sous toutes ses formes 12%
(public/privé, retail/institutionnel, côté/
non côté,..)
Courtage de Traitement des ordres et services associés 12%
détailß7
Banque de détail ß8 Dépôts, prêts, cartes bancaires, services 12%
bancaires, conseils financiers, banque
privée, gestion de fortune, garanties

« Méthode qui raisonne par ligne de métiers multipliés par un facteur de pondération qui reflète le
risque lié à l'activité .

35
 La banque doit commencer à enregistrer systématiquement les données de pertes
dues au risque opérationnel, notamment les pertes significatives par ligne de
métier.
Ce processus de collecte des pertes n’a pas vocation dans l’approche standard à
alimenter le dispositif de mesure mais à renforcer le dispositif de contrôle du
risque opérationnel.
Ainsi, l’approche standard est souvent considérée comme une étape vers
l’approche des mesures avancées (AMA), qui requiert des historiques de pertes
importants (5 ans).

c) La méthode des mesures avancées 1 (AMA)

Dans la méthode des mesures avancées, l’exigence est calculée par un modèle
interne, développé par la banque, sous des contraintes qualitatives et nécessitent
l’accord du superviseur.
Ainsi, cette méthode suppose que la banque soit en mesure de collecter, de
conserver et d’analyser toutes les données internes concernant les pertes liées
aux risques opérationnels et de les utiliser comme base du calcul des fonds
propres correspondants. Ainsi en respectant la décomposition entre les huit
lignes d’activités et les sept catégories de risques.

1
Le dispositif incite les banques à opter pour la méthode avancée car moins consommatrice en fonds
propres réglementaires. Cependant, en échange, les banques devront mettre en place une organisation
spécifique visant à un « meilleur » contrôle des risques opérationnels et à la réduction des pertes. La
méthode avancée requiert la nomination d’une entité indépendante responsable de la mise en place d’une
stratégie de réduction des risques opérationnels.

36
Les principes associés aux modèles internes sont les suivants :

L’utilisation de données internes avec un historique de pertes d’au

moins cinq ans (trois ans au moment de la mise en œuvre) et à partir d’un seuil
adéquat ;

L’utilisation de données externes retraitées pour être pertinentes et

comparables à des données internes (c’est – à – dire aux données de la banque) ;

L’analyse par scénarios est une auto – évaluation des risques,

notamment pour les risques à faible probabilité et fort impact ;

L’évaluation de l’environnement et du système de contrôle interne des

risques considérés (c’est une appréciation de la qualité de la gestion des risques).

Un calcul de mesure de la perte attendue pour chaque couple ( expected loss EL)
est réalisé. Il est ensuite calculé sur cette base, le besoin en capital des risques
opérationnels (FPRO) grâce à un facteur multiplicateur.

EL = PE 1 x LGE2 x E3

1
Probabilité de l’évènement (probability of event)
2
Perte en cas d’évènement (loss given by event)
3
Exposition au risque opérationnel.

37
PE et LGE sont déterminés par la banque d’après ses modèles internes.
Le facteur E est donné par le régulateur 1.

Les fonds propres à allouer sont la somme des pertes attendues pour chaque
couple pondérés d’un facteur γ spécifique (les cinquante six facteurs sont fixés
par le régulateur).

FPRO = Σij (γij x Elij)

[catégorie d’activité (i) x type de risque (j)]

Le risque opérationnel a été la cause de nombreuses défaillances dans les

établissements de crédit. Les banques ont d'ailleurs tiré des leçons du passé et
mettent en œuvre des procédures pour le contrôler.

Les priorités s'orientent actuellement vers la mesure, la modélisation des risques

opérationnels et leur impact sur l'allocation des fonds propres.

1
Pour comprendre cette formule, il s’agit d’un schéma classique : probabilité, taux de perte et le
montant de l’exposition au moment (voir vocabulaire ci – dessus).

38
 Méthode de
Pas d’organisation spécifique
base

.Intégration des obligations de la méthode

standard
. Mise en place d’une entité indépendante,
en charge de la mise en place de l a
politique de gestion des risques
Méthode opérationnels, des procédures et des
standard contrôles
. Utilisation de données externes à
l’établissement pour la prise en compte des
risques « majeurs »
. Calcul des fonds propres à mobiliser su r
la base des données d’incidents collectés et
de ces données externes

. Découpage de l’activité par ligne de métier

selon les critères du régulateur
. Identification des risques opérationnels et
réévaluation périodique
. Evaluation des pertes potentielles liées à la
Méthode réalisation de ces risques
avancée . Définition d’indicateurs pertinents de suivi des
risques
. Reportages internes à destination des
opérationnels comme des organes de direction
. Mise en place des plans d’actions découlant de
ces reportages
. Collecte des données d’incidents (consécutifs à
la réalisation des risques).

1
Pré – requis organisationnels de chaque méthodes

1
Sources : SIA Cabinet de Conseil

39
2) Différentes approches adoptées par les banques pour évaluer les risques

a) L’ approche Top-Down

La méthode Top - down donne une estimation du risque opérationnel sur la base
des variations historiques des résultats après intégration de facteurs tels que
l'évolution de l’activité ou le coût lié aux changements.
Dans cette approche, certaines banques ont tendance à évaluer l'exigence de
fonds propres pour le risque opérationnel en prenant simplement un pourcentage
d'un indice d'activité comme le produit brut bancaire.

D'autres estiment le risque opérationnel selon un pourcentage fixe correspondant

aux coûts opérationnels de l'établissement ou de la ligne métier.

Selon cette approche, on peut envisager un schéma dans lequel le montant 1alloué
en fonds propres pour couvrir le risque opérationnel serait égal :

Indice d'activité x multiplicateur de la ligne d'activité x k

Cette approche présente l'avantage d’être mis en place une fois que l'élément
inconnu de volatilité des résultats historiques des activités est résolu. Toutefois
elle présente une faible valeur analytique ; un rapport difficile à établir entre
perte et revenu variable et entre risque opérationnel et revenu variable.

1
k est un score représentant l'environnement.

40
On peut dire que les modèles proposés par cette méthode ne sont pas propices à
la mise en œuvre d'un contrôle interne, d'où son ignorance de la qualité du
contrôle. Dans ce cadre, et pour mieux maîtriser le risque opérationnel, les
établissements s’orientent d’avantage vers des approches à forte valeur ajoutée
type
" Bottom-Up ".

b) L’approche Bottom -Up

Les modèles Bottom-Up correspondent à une approche structurelle dans laquelle

l'identification, l'évaluation des pertes et risques sont définis à l’intérieur de la
banque en fonction de la logique de comportement, des processus et de la
technologie .

En effet, lors d'une telle approche, chaque opération est analysée de son initiation
jusqu'à sa comptabilisation. A chaque étape, les tâches et contrôles clés sont
décrits, testés et évalués.

Le recensement et l'évaluation des risques opérationnels est traduite dans une

cartographie des risques opérationnels (zones géographiques, ligne métier, entité,
activité et productivité) se déclinant de la plus globale à la plus exhaustive.

Cette approche apparaît utile pour comprendre la nature du risque opérationnel et

pour permettre un contrôle interne efficace. Elle est source de création de valeur
car elle intègre des cartographies des risques opérationnels liés aux activités et
process comprenant l’identification, l'analyse et l’évaluation des risques.

41
Elle permet de contribuer d’une part à la connaissance des risques opérationnels
au niveau des activités, et d’autre part au changement comportemental des
différents acteurs et notamment les opérationnels.

Toutefois, elle présente l’inconvénient de la subjectivité. En effet, un risque peut

avoir plusieurs sources : faut-il le classer dans le risque humain, processus,
systèmes ou encore externes ; dans quelle catégorie faut-il le classer ?

42
Chapitre 2 : L’évolution organisationnelle des banques par
rapport aux risques opérationnels

La mise en œuvre du dispositif de Bâle II nécessite l’organisation d’un dispositif

de maîtrise de risques opérationnels et fait intervenir de nombreux acteurs de
l’entreprise. Ces risques se retrouvent à tous les niveaux et dans toutes les
fonctions de l’entreprise.

D’où la nécessité de mettre en place une approche transversale à l’échelle de la

banque, et non par « étage » car les différents acteurs de la banque vont tour à
tour jouer des rôles opérationnels, de contrôle et de validation et ce, de manière
itérative avec une implication forte non seulement de la Direction Générale, mais
aussi des fonctions de Contrôle interne (Permanent et Périodique).

I – Une organisation pyramidale

Une organisation pyramidale qui fait intervenir, la Direction Générale (A) de la

banque, et la Direction des risques opérationnels (B).

43
A – Le rôle de la Direction Générale dans la maîtrise des risques
opérationnels

La Direction Générale doit être impliquée dans la définition de la mise en œuvre

du dispositif de gestion des risques, et ceci avec l’accord du Conseil
d’Administration.
C’est elle qui valide la politique de risque, en particulier les limites de risques et
l’allocation de fonds propres permettant la couverture des risques.
A la lecture du dispositif du Comité de Bâle II, il est clair que la Direction
Générale joue un rôle jugé « déterminant » (selon de nombreuses banques) pour
une saine gestion du risque à l’échelle de l’établissement tout entier. C’est elle
qui a en charge de traduire le dispositif de gestion élaboré par le Conseil
d’Administration, en politiques (de saine gestion des risques, en vérifiant et
évaluant l’adéquation du processus de surveillance de cette gestion au regard des
risques inhérents à la politique de chaque entité de la banque), processus et
procédures pouvant être appliqués et contrôlés au sein des diverses entités de la
banque (par l’audit interne par exemple).

De même, la Direction Générale assume devant les autorités de contrôle, la

réalité et l’efficacité du dispositif et se voit attribuer de nouvelles responsabilités.
En effet, la Direction Générale est responsable du système de gestion et de
maîtrise des risques et de son implantation. Elle est également responsable de la
stratégie de couverture des risques opérationnels. Enfin, la Direction Générale
doit s’assurer qu’un audit régulier du système est réalisé en toute indépendance
pour vérifier l’exhaustivité et la qualité du système de contrôle mis en œuvre.

44
B – La direction des risques opérationnels

Dans le cadre de la mise en œuvre de la Réforme de Bâle II, les risques

opérationnels ont été appréhendés comme une catégorie de risque spécifique qui
nécessite, au même titre que les risques de crédit ou de marché, la définition d’un
dispositif particulier, propres aux risques opérationnels, et ce, en terme
d’organisation.
Ainsi, le Comité de Bâle II a – t’il insisté sur la création d’une Direction des
risques opérationnels, indépendante des lignes métiers et de l’Audit.

La direction des risques opérationnels est considérée comme le principal outil

pour la Direction Générale pour assurer une bonne efficacité du dispositif.
Son positionnement dans l’organisation de la banque bénéficie d’une
indépendance non négligeable par rapport aux fonctions opérationnelles pour
permettre une vision transversale et orientée, facilitant la prévention des risques
opérationnels.
Souvent dans les différents schémas des organisations des banques, la direction
des risques opérationnels est rattachée à la direction générale.

La Direction des Risques Opérationnels (DRO) est une filière de contrôle

permanent issue de l’évolution du règlement 97-02 du Comité de la
Réglementation Bancaire et Financière sur le contrôle des établissements de
crédit. La DRO intervient dans la prévention, la mesure, la surveillance et le
contrôle des risques opérationnels, assure la coordination du contrôle permanent
des risques opérationnels ainsi que l’animation des contrôleurs internes
intervenant dans ce domaine.

45
 La direction a des compétences dans trois domaines principaux :

- En matière de maîtrise des risques opérationnels, à travers des actions de

prévention, de surveillance permanente et de contribution au développement de
« saines pratiques » en matière de gestion des risques opérationnels.

- Elle assure la coordination des activités de contrôle permanent des risques

opérationnels et de conformité réalisées dans les Directions ainsi que l’animation
des contrôleurs internes.

- Enfin, elle centralise des données de contrôle permanent sur les risques
opérationnels et la conformité et leur exploitation ainsi que la diffusion vers les
autres filières de contrôle des éléments de risque relevant de leur compétence,
notamment la Direction de la Conformité.

1) En matière de risques opérationnels

a) Prévention, politique de gestion et surveillance des risques

opérationnels

La DRO intervient dans les phases de prévention, de détermination de la

politique de gestion et surveillance. Elle collecte, interprète et diffuse la
réglementation afférente aux risques opérationnels
Elle élabore une politique de saine gestion de ces risques en suivant les
actions d’amélioration mises en œuvre par les opérationnels

46
Et surveille la qualité des informations utilisées et l’évolution des
niveaux de risques.

b) Base Pertes et Base Incidents

La DRO appréhende et mesure les risques opérationnels à travers les

bases « Pertes » et « Incidents » dont elle est chargée de la mise en place.
Elle s’assure de la collecte et de la conservation de ces indicateurs.

c) Cartographie des risques

La DRO impulse la cartographie des risques et son actualisation au fil

er
des contrôles effectués sur le terrain par les contrôleurs de 1 et de 2 ème
niveau.
Elle a vocation à assurer l’administration de la cartographie générale des
risques de la banque.

d) Plan de continuité d’activités

La DRO s’assure de l’élaboration, de l’actualisation et du maintien en

condition opérationnelle du Plan de Continuité d’Activités par les
Directions opérationnelles.
Elle est chargée notamment de vérifier l’adaptation permanente du Plan
de Continuité d’Activités aux évolutions de la stratégie, des processus
et/ou de la réglementation.

47
 e) Diffusion de normes et de règles en matière de contrôle des
risques opérationnels

La DRO définit des normes en matière d’évaluation du risque, de

contrôle et de reportage. Dans ce domaine, elle assume également une
maîtrise d’ouvrage sur les outils de contrôle permanent relatifs aux
risques opérationnels.

2) En matière de coordination des contrôles permanents (risques

opérationnels et conformité)

a) Animation et coordination du dispositif de contrôle permanent

La DRO assure l’animation des contrôleurs permanents et la coordination de

leurs travaux. Elle veille à la mise en place, à l’efficacité et à la pertinence du
dispositif de contrôle permanent.

Pour ce qui concerne les risques opérationnels et la conformité, les contrôleurs

permanents sont rattachés :
- hiérarchiquement à leur Directeur ou au Directeur Général dans le cas
des filiales ;
- fonctionnellement à la DRO.
Dans ce cadre, elle est chargée de l’animation des contrôleurs permanents, de la
cohérence dans les approches et les méthodes de contrôle et de la
communication entre les différents contrôleurs permanents des Directions et des
Filiales.

48
 b) Centralisation et diffusion des travaux réalisés par les
contrôleurs permanents

La DRO centralise les remontées des éléments de contrôle permanent sous la

forme de tableaux de bord, de rapports ou de synthèses. Ces documents sont
analysés sous l’angle de la maîtrise des risques. Ils contribuent à l’élaboration
des reportages vers les organes dirigeants et les autorités de tutelle.
Au titre de la coordination, elle transmet les éléments d’informations aux
différentes filières de contrôle dont la Direction de la Conformité ainsi qu’aux
comités statuant sur les aspects de contrôle.

c) Reportage et rédaction de rapports réglementaires

A partir des reportages recueillis auprès des contrôleurs permanents, la DRO

informe régulièrement le Directeur Général, le Comité d’Audit ou le Conseil
d’Administration, de l’état du dispositif de contrôle permanent et des
dispositions prises pour assurer la maîtrise des risques opérationnels et la
continuité de l’activité.
La DRO contribue également à la rédaction des rapports réglementaires destinés
aux autorités de tutelle.

La direction des risques opérationnels est investie de nombreuses missions qui,

grâce à son indépendance vis à vis des autres fonctions opérationnelles de la
banque, lui permet d’une part de définir la frontière entre les différents risques
(opérationnels, de crédit, et de marché) et d’autre part d’affecter à ces risques un
sinistre en évitant des doubles comptes.

49
 3) Plans d’actions

Il incombe à la direction des risques opérationnels de définir la politique et les

procédures de la banque pour la gestion des risques opérationnels, ceci, en
coordonnant des travaux réalisés dans les lignes métiers.
Parmi ses nombreuses missions, la direction définie des outils transversaux de
mesure et de suivi, définition et mise en place du système d’information
permettant le suivi et le pilotage des risques.

En somme, le rôle de la direction des risques opérationnels est d’assurer un suivi

de la gestion des risques opérationnels en élaborant (en collaboration de la
direction générale) une politique de gestion des risques en y associant les
procédures adéquates et des plans d’actions à mettre en œuvre.

Dans ce domaine, la Direction Générale de l’établissement bancaire joue un rôle

essentiel :

  En officialisant le rôle et la mission de la direction des risques opérationnels

chargée d’assurer la coordination du projet cartographie des risques
opérationnels dans les différentes directions et la coordination entre la gestion
quotidienne des risques opérationnels et le plan de continuité d’activité 1 (PCA).

1
Plan de Continuité d’Activité: ensemble de procédures établies pour pallier tous les types d’incidents
pouvant mettre en péril la continuité d’exploitation.
Un plan de continuité se décline en quatre volets :
1.L’établissement d’une liste de scénarios susceptibles d’impacter fortement l’activité
S1 : Indisponibilité des systèmes d’information
S2 : Indisponibilité des locaux
S3 : Indisponibilité du personnel
2.La rédaction des procédures de secours afférentes aux scénarios et leurs mises à jour régulières

50
   En désignant un « Risk Manager » dans chacune des directions, dont l’objectif
sera, en collaboration et avec le soutien de direction des risques opérationnel de
faire vivre la cartographie des risques opérationnels :

de recenser et suivre les actions de correction nécessaires, et

d’alimenter les bases pertes et incidents pour les événements
concernant sa direction,
de faire le lien avec les procédures de plan de continuité
d’activité.

3.La mise en place des moyens et dispositions définis lors des scénarios ainsi que leur maintenance
opérationnelle,
4. Le contrôle régulier du maintien en condition opérationnelle.

51
II – La difficile prise en compte du risque à tous les niveaux de la
banque

On parle de difficile prise en compte des risques opérationnels car il avait

toujours été préférable de privilégier les risques liés à l’activité bancaire (risque
de taux, de liquidité, de marché…) faisant parties de la culture de gestion des
risques.
A l’inverse, les risques opérationnels étaient moins formalisés et gérés de façon
moins structurée et spontanée par les différentes entités de la banque.

52
A – Les lignes métiers et les opérationnels

La gestion des risques opérationnels nécessite une déclinaison dans les lignes
métiers selon des partages de responsabilité.
L’un des enjeux majeurs d’une politique de gestion des risques opérationnels
concerne la formation et la mobilisation des équipes aux risques existants et à la
bonne gestion des incidents.
Sur les fonctions opérationnelles, il est fréquent de retrouver deux niveaux de
fonctions qui ont une responsabilité différente dans le dispositif.

Au premier niveau, on retrouve le «Risk Management ou gestion des risques »

Un « Risk Management » se retrouve dans tous les secteurs d’activités.
Cependant, dans le domaine bancaire, il a un caractère particulier, en ce sens où
le Risk Management évolue dans une dimension réglementaire très forte, ce qui
se répercute sur la gestion des risques dans ce domaine.
La gestion des risques signifie mesurer les risques encourus dans le cadre d’une
activité c’est – à – dire évaluer le risque pour savoir s’il est possible de le
supporter .
Il s’agit notamment d’appréhender le risque et d’y apporter des solutions
concrètes, notamment par le biais d’actions correctrices.

Les fonctions du Risk Management relèvent à la fois de l’opérationnel et du

1
domaine de la surveillance au même titre que la direction de la fonction
opérationnelle.
2
En effet, cette fonction assure entre autre, la gestion des risques opérationnels ,
c’est – à – dire la mise en place d’outils d’évaluation et de reportages ; le Risk

1
La surveillance des risques et des limites est une composante essentielle du management des
risques, elle est dévolue aux contrôles de premier et de deuxième niveau.
2
Mais son périmètre de compétence s’étend à tous les risques, et plus particulièrement aux
risques opérationnels.

53
Management propose des mesures de prévention des risques en s’assurant de la
remontée d’informations fiables et exhaustives dans le dispositif de suivi des
incidents et valide ces informations ;
il définit des plans d’actions nécessaires à la maîtrise des risques, ou encore,
assure un transparence du dispositif.
Ses décisions peuvent porter sur un renforcement du contrôle interne pour une
application stricte des politiques et procédures, sur le développement de
nouveaux outils de gestion, un changement de politique commerciale et sur la
mise en place de nouvelles procédures de contrôles.

Enfin, au deuxième niveau se trouve les collaborateurs. Ils assurent la gestion des
risques opérationnels en passant nécessairement par la détection et
l’enregistrement des incidents, et, à leur niveau, à la mise en place des mesures
correctives (par des plans d’actions) et conservatoires.

54
B – Les métiers transversaux face aux risques opérationnels

Les métiers transverses sont en général en charge de risques particuliers (système

d’information, déclarations réglementaires…) ou ont des contraintes spécifiques
(confidentialité des informations pour les ressources humaines) qui impliquent
parfois des traitements particuliers.
Ces métiers transversaux regroupent les systèmes d’information, la sécurité de
l’information, les ressources humaines, la logistique ou encore les services
juridiques.
Les métiers transversaux jouent un rôle majeur dans le dispositif de maîtrise des
risques opérationnels ; et ce, à tous les niveaux.

Ainsi, la réforme de Bâle II, a induit les banques à modifier leur organisation
interne même si en France cette évolution avait déjà été entreprise par le
Règlement CRBF 97/02, qui prévoyait déjà une réorganisation pyramidale des
banques avec des contrôles de premier, second et troisième niveau, notamment
dans la lutte des établissements bancaires contre le blanchiment des capitaux ou
contre le financement du terrorisme.
Ainsi la gestion des risques opérationnels suppose une organisation des lignes
métiers associant les fonctions opérationnelles, par analogie à l’organisation
prévue par le règlement pré – cité.

55
 Chapitre 3 : L’ontologie des risques opérationnels

Le Comité de Bâle a défini une typologie des risques opérationnels en

choisissant une répartition en sept catégories de risques opérationnels.

56
I – Les composantes du risque opérationnel

L’identification des risques opérationnels générés par leurs activités demeure une
étape fondamentale pour que les établissements de crédits puissent assurer les
moyens adéquats pour quantifier et gérer ces risques opérationnels. Cette
démarche d’identification et de gestion autonome est apparue ces dernières
années comme une discipline à part, étant donnée l’importance et l’impact des
ces risques sur les banques quand ils interviennent.

57
A – Des risques traditionnels

Les risques traditionnels s’entendent des risques qui proviennent de l’ensemble

des métiers bancaires, qu’ils s’agissent du risque de défaillance opérationnelle,
du risque juridique ou fiscal, ou encore des fraudes (interne ou externe).

1) Risque de défaillance opérationnelle

Le risque de défaillance opérationnelle se définit comme le risque de perte

directe ou indirecte provenant de défaillances potentielles de personnes
employées, de processus engagés et de technologies utilisées.
Cette définition du risque de défaillance opérationnelle, calque celle des risques
opérationnels. Ce risque peut résulter par exemple, d’un risque de transaction
causé par des erreurs lors d’opérations telles que virements, transferts de fonds,
encaissements…). Mais il peut aussi résulter d’un manque de contrôle dans les
activités de Front - Office, Middle – Office, ou même, Back – Office.
En outre, dans cette catégorie de risque il est possible de définir deux sous
catégories de risque de défaillance opérationnelle : d’une part, le risque de
procédure ou « administratifs », qui est le risque de perte dû à une défaillance
humaine ou d’un système ; d’autre part, le risque matériel qui se définit comme
le risque d’indisponibilité provisoire ou prolongée des moyens (installations
immobilières, matériel informatique…) nécessaires à l’exercice de l’activité.

58
Le risque de défaillance opérationnelle ne se produit pas souvent, de même que
son impact et sa fréquence sont incertains (notamment en raison des évènements
à l’origine des dysfonctionnements qui peuvent être tant internes qu’externes à la
banque), d’où la nécessité de les quantifier et d’essayer de les coter dans les cas
où ils seraient avérés pour les anticiper et atténuer leur survenance potentielle.

2) Risque juridique

La communauté financière nationale et internationale, normalisent depuis des

années, les rapports juridiques entre les opérateurs économiques, en prévoyant
des contrats cadres, visant à standardiser et à normer les clauses de ces contrats.
Les transactions bancaires, notamment peuvent s’appuyer sur ces types de
contrats pour effectuer leurs opérations.
Ainsi, le risque juridique concerne tout ce qui peut rendre caduque les droits et
obligations déterminés par lesdits contrats. Il peut s’agir d’un risque juridique
portant sur la qualité des contrats, où dans ce cas, par exemple, les clauses
contractuelles seraient remises en causes, voire même, frappées de nullité.

De ce risque juridique, peut découler un risque pénal pour lequel les dirigeants
ou les collaborateurs de la banque encourent des sanctions.
En outre, il n’est pas rare de voir un mandataire social engager sa responsabilité
pénale en cas de délit non intentionnel, ce qui constitue une source de risque
réelle pour les dirigeants, entraînant des conséquences pour la réputation et
l’image de l’établissement concerné.

59
3) Risque fiscal

Le risque fiscal correspond au risque de se voir condamner à payer une amende

suite à une interprétation erronée de la loi fiscale, à son détournement, à une
complicité pour des fraudes commises par des clients.
Il faut noter que ce risque se distingue du risque de pertes financières, qui lui,
survient notamment en cas de condamnation (civile dommages intérêts) ou pénal
(amendes).
Le risque de pertes financières est donc la conséquence des risques traditionnels,
c’est - à – dire, l’impact subi par la banque du fait d’un dysfonctionnement, d’un
risque non ou mal géré par l’établissement bancaire.

Le risque fiscal recouvre le non respect des dispositions juridiques en vigueur, et

la non prise en compte des changements de législation ou de la réglementation en
vigueur, en matière fiscale.

4) Risques humains et fraudes

Le risque humain, inhérent à la qualité de la personne naît du non respect des

exigences attendues des moyens humains (exigence de compétences et de
disponibilité, de déontologie…).
Ce risque peut être intentionnel, (notamment en cas de fraudes), ou non
intentionnel, (erreur humaine).
Les erreurs humaines dites « non intentionnelles », sont souvent coûteuses et leur
prévention comme leur détection a priori, dépendent de la compétence du

60
personnel, de leur niveau de vigilance, de leurs capacités d’adaptation aux
évolutions techniques, mais aussi de la technicité des opérations à traiter et de la
qualité du matériel et de la logistique utilisée.
Le risque intentionnel, ou « délibéré », résulte de l’inobservation des règles de
procédures, de prudence, de déontologie, de la malveillance, tout ceci, se
concrétisant par la réalisation d’opérations frauduleuses (exemple : l’escroquerie
ou le vole de carnets de chèques par un collaborateur de la banque).
Ce risque, comme le risque de défaillance opérationnelle, est assez difficile à
anticiper, car, bien que les établissements bancaires puissent prendre toutes les
mesures nécessaires, quant à la formation ou la sensibilisation des collaborateurs
aux risques qu’ils encourent, l’établissement n’est pas à l’abri d’éventuelles
pertes de contrôles d’un collaborateur (folie, dépression…), qui dans ce cas,
n’exclut pas la possibilité d’engager la responsabilité de la banque.

61
B - Deux risques à part entière : le risque de non conformité et le
risque de blanchiment de capitaux

La question qui vient à se poser à ce stade, est de savoir quelles corrélations

pourraient survenir entre risques opérationnels, risques de non-conformité et
risque de blanchiment des capitaux.
Pour répondre à cette interrogation, il convient tout d’abord de définir les risques
de non – conformité d’une part et le risque de blanchiment d’autre part.

1) Définition des risque de non – conformité et du risque de blanchiment de

capitaux

a) le risque de non - conformité

Avant de définir le risque de non – conformité, il faudrait tout d’abord, s’attacher

à la définition même de la conformité : en d’autre terme, à quoi fait – on
référence quand on parle de conformité ?
1
En France, il y avait une notion de « déontologie » consacrée dans le règlement
96/03 de l’ancienne Commission des Opérations de Bourse 2 ; mais cette notion a
disparu, au profit de la naissance d’une fonction distincte, dédiée à la conformité,

1
Ensemble des règles morales qui régissent l'exercice d'une profession ou les rapports
sociaux de ses membres.
2
La COB a fusionné avec le Conseil des Marchés Financiers pour donner naissance à
l’Autorité des Marchés Financiers.

62
apparue dans l’entreprise financière à la fin des années 1980 dans les pays
d’origine anglo – saxonne : on parle dans ces pays de « Compliance ou
Compliance Officer ».

C’est à cette époque qu’on isole une fonction nouvelle « chargée de la

conformité aux lois propres à des métiers spécifiques ». Cette fonction a fait
l’objet d’une recommandation par le Comité de Bâle, qui a précisé que son rôle
« est d’assister la banque dans la gestion du risque de conformité, lequel peut
être défini comme « le risque de sanctions légales ou réglementaires, de pertes
financières ou de pertes de réputation auxquelles une banque peut être soumise
par suite des manquements aux lois applicables, aux règlements et codes de
conduite ».
La conformité, ou plus précisément, l’absence de conformité, est présentée
comme un risque.

La fonction de « conformité » n’était pas jusqu’à présent isolée comme telle.

En effet, la raison en est que le risque qu’elle cherche à éviter, n’était pas lui –
même distingué. Le risque de non – conformité fait partie des « nouveaux
risques », considérés comme étant immatériels, ou moins objectifs que les
risques de crédit ou de marché, directement liés à l’activité bancaire.
Ce risque « nouveau », appartient désormais à la catégorie des risques
« éthiques ».
Ainsi, parallèlement à la naissance de ce nouveau risque, est né un nouveau
principe qui est celui de celui de la réorganisation de l’entreprise bancaire ou
financière dans la gestion du risque de nature « éthique ».

Le Comité de Bâle préconise même d’instaurer une culture de l’éthique au

niveau le plus haut de l’organisation des établissements de crédit, en recherchant,
non pas, le « simple » respect des lois, mais « l’esprit de la loi ». Cette
préconisation de Bâle pour être effective, nécessite donc en même temps une
culture de la « conformité ». Ainsi, la conformité irrigue l’organisation des
établissements de crédit.

63
Ainsi il est possible de se demander en quoi consiste la fonction de conformité ?
C’est – à – dire en quoi consiste la mission de prévention du risque de non –
conformité ?

Tout d’abord, la conformité consiste à assurer une veille réglementaire, qui

correspond à un processus de collecte, d’analyse et de diffusion de l’ensemble
des lois et règlements liés à l’activité bancaire et financière.

Ensuite, il s’agit également d’assurer une veille opérationnelle, qui consiste en

un processus de collecte, d’analyse, et de diffusion des évolutions sur l’ensemble
des outils de diffusion de l’information issue de la veille réglementaire, des
nouvelles techniques de blanchiments, des outils de gestion des risques de
blanchiments et de financement du terrorisme, des techniques et des outils liés à
la déontologie.

Et enfin, les normes et méthodes, qui désigne un processus dans lequel, le

responsable du Département des Risques de Non Conformité définit avec les
différentes fonctions opérationnelles concernées et les autres filières, des risques,
des procédures, les modes de fonctionnement et les normes assurant la
conformité, les méthodes d’évaluation des risques, de « reportages », et de
contrôle.

Le Comité de Bâle a formulé des propositions spécifiques quant aux modalités

de contrôle du risque de non – conformité. En France, le principe du respect de la
conformité a été inscrit dans le Règlement CRBF 97/02 du relatif au contrôle
interne des banques modifié par l’arrêté du 31 mars 2005, qui visent à
accompagner le renforcement des dispositifs de veille et de contrôle de la
conformité des établissements de crédit et à en assurer sa reconnaissance
nationale et internationale.

64
On ne parle plus d’un risque de conformité mais plutôt d’un « risque de non-
conformité ».

Le risque de non-conformité est défini par le Comité de Bâle, dans un

document consultatif du 27 octobre 2003 « Consultative Document on the
Compliance Function in Banks ».
Il s’agit du « risque de sanction judiciaire, administrative, et disciplinaire de
pertes financières significatives ou d’atteinte à la réputation, qui naît du non
respect de dispositions propres aux activités bancaires et financières, qu’elles
soient de nature législatives ou réglementaires, ou qu’il s’agisse de normes
professionnelles et déontologiques, ou d’instructions de l’organe exécutif prises
notamment en application des orientations de l’organe délibérant. »

Le Comité de Bâle inclut dans cette définition, outre, la conduite des activités
bancaires et financières, les dispositions relatives à la prévention du blanchiment
et au financement du terrorisme.

b) le risque de blanchiment de capitaux

Les banques sont depuis un certains nombre d’années, devenues les plaques
tournantes des opérations d’origines criminelles, telles que le blanchiment de
capitaux.
En effet, premières victimes de ce type de criminalité organisée, elles ont dus
déployer de nouveaux moyens pour lutter contre, en élaborant notamment de
nouveaux dispositifs de contrôle.

65
Il est nécessaire de préciser ici, le contexte dans lequel cette lutte s’est imposée à
tous les établissements de crédits.

Il devient coutume de dire que la lutte contre le blanchiment des capitaux dans
les banques, est née des divers « scandales » financiers, qui impliquèrent les
banques à leur insu.
La fonction de conformité a en effet, en raison de l’accroissement de son
périmètre d’obligation, (notamment en terme de renforcement du contrôle
interne), dû inclure la lutte contre le blanchiment des capitaux, dans ses
prérogatives et, depuis les attentats du 11 septembre 2001, la lutte contre le
financement du terrorisme.
Pourquoi un tel accroissement des obligations dans le périmètre de compétence
de la conformité ? Et pourquoi inclure le blanchiment des capitaux dans les
prérogatives de la fonction de conformité ?
Les réponses à ces questions seront données au fil de l’eau, mais de façon plus
significative dans le petit deux de cette sous - partie.

Traditionnellement, le blanchiment des capitaux est divisé en trois catégories :

Le placement ou « prélavage » est la première phase d’une opération de

blanchiment.
En effet, elle consiste à convertir les importantes sommes d’argent liquides
générées par les activités criminelles (trafics de stupéfiants par exemple),
notamment, en transformant l’origine criminelle de ces fonds, sous l’apparence
de dépôts, ou encore en achetant des instruments monétaires tels que chèques de
voyage, devises étrangères, etc.
Ce procédé est incontournable pour aboutir au processus de blanchiment de
capitaux.
Cependant, cette phase est devenue délicate pour les blanchisseurs car désormais,
elle est détectable grâce aux nouveaux dispositifs de contrôle imposés aux
établissements financiers par la législation.

66
On pense notamment à toute la législation sur le contrôle interne devenue l’une
des préoccupations majeures des autorités de tutelles bancaires. Le règlement
97/02 modifié par l’arrêter du 31 mars 2005, impose aux banques la rédaction de
procédures internes ainsi que des diligences à effectuer en matière de lutte contre
le blanchiment des capitaux et du financement du terrorisme.
De même il a été imposés aux établissements de crédits de réviser leur
organisation interne en séparant notamment les différentes fonctions de contrôle
de la banque c’est –à – dire entre les contrôles périodiques et les contrôles de
permanents.

1
En outre, parmi les 40 Recommandations du Gafi , la recommandation n°15,
souligne que les institutions financières devraient mettre en place des
programmes de lutte contre le blanchiment d’argent, comprenant :

Des politiques, des procédures, et des contrôles internes ;

Des dispositifs de contrôle de la conformité et des procédures appropriées lors

de l’embauche des salariés, de façon à s’assurer de leur formation et de leur
information de façon continue en matière de lutte contre le blanchiment des
capitaux et contre le financement du terrorisme ;

Un dispositif de contrôle interne pour vérifier l’efficacité du système.

Le Règlement du 18 avril 2002 1, quant à lui, renvoie à des règles écrites internes
dont chaque établissement de crédit doit se doter en vertu du Règlement CRBF
91/07 du 15 février 1991.

1
Le Groupe d’Action Financière (GAFI) est un organisme intergouvernemental dont le but
est de développer et promouvoir des politiques nationales et internationales visant à lutter
contre le blanchiment de capitaux et le financement du terrorisme. Le GAFI est donc un
organe de décision; fondé en 1989 il s'efforce de susciter la volonté politique nécessaire
pour réformer les lois et réglementations dans les domaines de sa compétence. Le GAFI a
publié les 40 + 9 recommandations afin de satisfaire ce but.

67
Ces règles doivent décrire « les diligences spécifiques à accomplir aux fins de
prévention du blanchiment ».

Les obligations des établissements bancaires sont donc de plus en plus

nombreuses et parfois contraignantes. Reste à savoir quel risque une institution
peut courir pour ne pas les respecter ?

Les établissements de crédit et intermédiaires financiers sont sanctionnés par les

autorités de contrôle et de tutelle (AMF, Commission Bancaire…), lorsque les
règles écrites internes n’existent pas ou sont insuffisantes. Ceci, en application de
l’article L.562-7 du Code Monétaire et Financier (CMF) : « lorsque, par suite
soit d’un défaut grave de vigilance, soit d’une carence dans l’organisation de ces
procédures internes de contrôle, un organisme financier […] a omis de faire les
obligations découlant du présent titre, l’autorité ayant pouvoir disciplinaire,
engage une procédure sur le fondement des règlements professionnels ou
administratifs et en avise le Procureur de la République ».

Ensuite, vient l’empilage ou « lavage » qui est la deuxième phase du

blanchiment. Elle consiste à multiplier les opérations financière, afin de masquer
l’origine criminelle des revenus illégalement acquis, ainsi que l’identité des
propriétaires réels et des bénéficiaires économiques.
Cette méthode fait aussi appel à l’intervention des établissements financiers, en
laissant par exemple entrer des fonds d’origines douteuses, lors de transfert de
fonds ou encore, en cas de prêts, garantis par le dépôt d’une somme d’argent
équivalente dans les coffres de la banque.

L’intégration ou « recyclage » constitue la phase finale du processus de

blanchiment d’argent.
En effet, une fois placés sur un compte bancaire, les fonds sont introduits dans
l’économie légale, par le biais notamment d’investissements.

1
Règlement n° 2002-01 du 18 avril 2002 relatif aux obligations de vigilance en matière de
chèques aux fins de lutte contre le blanchiment des capitaux et le financement du terrorisme.

68
Cette phase met de nouveau en avant l’utilisation qui est faite des banques par les
blanchisseurs ; en effet, elles disposent du pouvoir de légaliser les fonds par le
seul fait de les intégrer dans leur coffre.

Le risque de non – conformité et le risque de blanchiment des capitaux étant

précisés, il convient à présent de s’interroger sur les liens qu’ils pourraient y
avoir entre eux et avec le risque opérationnel. Il s’agit de savoir en quoi ces
risques de blanchiment et de non-conformité sont des risques opérationnels.

2) Risque opérationnel, risque de non – conformité et risque de

blanchiment : entre convergence et divergence ?

La frontière entre ces trois risques n’est pas aisée à faire, et reste pour certains
professionnels de la banque, assez théorique.
Tout d’abord, la dichotomie n’a pas toujours été entre le risque de non –
conformité et le risque opérationnel.
En effet, avant le Règlement CRBF 97/02 le risque de non – conformité était une
composante du risque opérationnel ; autrement dit il n’y avait pas de distinction
explicite entre ces deux risques.
Mais depuis les crises financières de ces dernières années mettant en scène les
établissements bancaires, est née une volonté chez le législateur d’envisager le
risque de non- conformité et le risque opérationnel de façon distincte, comme
deux risques à part entière.

La question qui se pose alors est de savoir s’il est quand même possible qu’une
corrélation quelconque puisse encore exister entre ces risques ?
Au regard d’exemples, la réponse à cette question pourra être donnée.

69
Est – il pensable que le risque de non – conformité découle d’un risque
opérationnels et vice – versa ? De même un risque de blanchiment de capitaux
entraîne – t – il de facto un risque de non – conformité et/ou un risque
opérationnel ?

En ce qui concerne la première question, le risque opérationnel n’est pas toujours

associé à un risque de non – conformité. Mais il est des cas où les deux
cohabitent.
Autrement dit, il y a risque opérationnel, soit à cause d’un non respect d’une
réglementation et donc de la survenance d’un risque de non – conformité ; soit il
y a un risque opérationnel tel que défini par le Comité de Bâle II, à savoir «un
risque de pertes résultant de l’inadaptation ou de la défaillance de procédures
internes, de personnes et de systèmes, ou résultant d’évènements extérieurs ».

A titre d’exemple, un risque de défaillance des systèmes informatiques d’une

banque, relève purement d’un risque opérationnel, conformément à la définition
donnée par le Comité de Bâle II. Il en est de même d’une erreur humaine telle
qu’une erreur de saisie d’opérations.
Dans ces deux cas il n’y a pas de risque de non – conformité car les risques sont
inhérents à l’activité bancaire ; les procédures ont pu être respectées par les
collaborateurs, mais les risques opérationnels sont une résultante de la réalisation
de l’activité elle-même et non d’une réglementation qui n’aurait pas été
respectée.
Le risque de défaillance des systèmes informatiques ne peut être prévu. En effet,
il est possible que les collaborateurs de l’informatique de la banque aient pris
toutes les dispositions nécessaires et se soient conformés à la réglementation,
mais une panne du système informatique n’est pas prévisible. Il en est de même
pour l’erreur humaine : il est probable que l’établissement bancaire ait diligenté
toutes les formations nécessaires à leurs collaborateurs, mais cela n’exclut pas
pour autant l’erreur humaine.

70
Cependant, il est des risques opérationnels qui associent un risque de non –
conformité.
En matière de fraude financière par exemple il s’agit d’un risque opérationnel
ayant pour cause une fraude du client (cavalerie, escroquerie…), entraînant un
risque de non – conformité si la banque n’a pas effectuée les diligences
nécessaires en matière de vigilance et de contrôle des chèques. Même réflexion
en matière de versement de pensions alimentaires où la banque a une obligation
de résultat ; si elle ne respecte pas les procédures en matière des demandes de
versements des pensions il y a un risque de non – conformité.

A ce stade, se pose la question de savoir ce qui distingue de façon concrète ces

deux risques ?
En réalité, deux hypothèses existent : d’une part, le risque de non – conformité
est la conséquence du risque opérationnel ; et d’autre part, ces deux risques
s’avèrent totalement indépendants.

Autre problématique, celle de la corrélation de ces deux risques avec le risque de

blanchiment.
Le risque de blanchiment de capitaux résulte du fait d’un non respect des
procédures en matière de lutte anti – blanchiment ; il peut y avoir dans ce cas, à
la fois un risque de non – conformité, mais aussi du risque opérationnel.
Pour illustrer ces propos, prenons l’exemple d’une ouverture de compte. Si dans
une première hypothèse, le collaborateur de la banque effectue les diligences
nécessaires en matière d’ouverture de compte, conformément au Règlement
CRBF 97/02 ou tout autres réglementations relatives à la lutte contre le
blanchiment telles que les normes « KYC » (know your customer) et que des
opérations de blanchiment de capitaux soient décelées, il n’y a pas de non –
conformité à proprement parler puisque la réglementation a été respectée.
L’inverse entraîne non seulement un risque de non – conformité, mais aussi un
risque opérationnel.

71
Le risque de non – conformité résulte du non respect des procédures,
notamment, de la connaissance du client ; et le risque opérationnel d’une
défaillance dans le suivi du fonctionnement du compte du client (par exemple,
s’il s’agit d’un cas de schtroumphage, la non détection par l’outil informatique
de telles opérations, en raison d’une inadaptation des outils informatiques).

Dans cet exemple, ces risques peuvent parfois être indépendants les uns des
autres, ou d’autres fois sont interdépendants.

Finalement dans tous ces cas, que ce soit en matière de risque de non –
conformité, de risque opérationnel ou en matière de risque de blanchiment,
l’absence de maîtrise des ces risques a été à l’origine de nombreuses affaires
ayant des impacts tant financiers, que pénales ou encore de réputation ou
d’image sur la banque.

72
II – L’absence de maîtrise du risque opérationnel : cause de
nombreuses sanctions

Depuis ces dernières années, les banques ont du remettre en question leur façon
de gérer les risques inhérents à leurs activités. Cette prise de conscience est née
suite à des pertes et faillites bancaires dont les causes sont pour la plupart, des
défauts de contrôle ou des défaillances dans le management des risques,
notamment en terme de risques opérationnels.

73
A – L’exemple de l’affaire du Sentier II

L’Affaire du Sentier II, est une illustration significative d’un risque opérationnel,
étant assortie d’un risque de non – conformité.
En l’espèce, il s’agit d’une affaire de blanchiment de capitaux via des chèques
entre la France et l’Israël, qui porte sur des milliards d’euros.
L’escroquerie a consisté à la mise en place d’un système de cavalerie sur des
chèques qui étaient envoyés en Israël où la législation permet leur endossement
contre le versement des sommes en espèces.
Ce circuit de blanchiment met en cause les établissements bancaires, renvoyées
en tant que personnes morales devant les tribunaux. En effet, quatre banques et
138 personnes ont été renvoyées en correctionnelle dans cette affaire de
blanchiment.
« Renvoi devant le tribunal correctionnel des personnes mises en examen du chef
de blanchiment aggravé et complicité de blanchiment : le caractère frauduleux
des fonds constitutifs d’abus de biens sociaux qui ont alimenté les comptes des
1
sociétés X » .

Par ailleurs, le PDG d’une des banques, comparaît en tant que prévenu avec
plusieurs cadres de la banque pour blanchiment aggravé 2.
Ici en quoi a consisté le risque opérationnel ?

1
Extrait de l’Ordonnance de Règlement de renvoi en correctionnel desdites banques.
2
Le blanchiment est le fait de faciliter, par tout moyen, la justification mensongère de
l'origine des biens ou des revenus de l'auteur d'un crime ou d'un délit ayant procuré à celui-ci
un profit direct ou indirect.

Constitue également un blanchiment le fait d'apporter un concours à une opération de

placement, de dissimulation ou de conversion du produit direct ou indirect d'un crime ou
d'un délit.

74
Ce qui est essentiellement reproché aux établissements bancaires, est un manque
de vigilance et une défaillance dans leur dispositif de contrôle qui, étaient soit
insuffisants, soit inadaptés.

De plus, un non respect des procédures en matière de lutte contre le blanchiment

d’argent est aussi reproché, notamment à l’un des prévenus qui « avait
connaissance de ce caractère frauduleux, mais qui n’aurait rien fait pour y mettre
fin, ni alerter les services de lutte anti – blanchiment » 1.
En l’espèce, le risque opérationnel résulte d’une défaillance dans les dispositifs
de contrôle et en un défaut de vigilance de suivi des fonctionnements des
comptes bancaires des différentes sociétés implantées à la rue du Sentier. De
même, les systèmes informatiques des banques étaient inadaptés aux dispositifs
de lutte anti – blanchiment car ils n’ont pas permis de détecter les opérations
douteuses de blanchiment ainsi que le caractère grossier des chèques falsifiés 2.
En ce qui concerne la connaissance de la banque du caractère frauduleux des
circuits financiers, le risque opérationnel relève de la catégorie de la négligence
et du manque de formation et d’information des collaborateurs de la banque en
matière de vigilance en terme de lutte anti – blanchiment : le système étant
défaillant et insuffisant, ceci a contribué à faciliter les opérations de blanchiment.

1
Extrait de l’Ordonnance de Règlement de renvoi en correctionnel desdites banques.
2
Des chèques à l’ordre de l’Urssaf volés lors d’une grève des postes, ont été « recyclés » au
bénéfice d’un citoyen bulgare dénommé Urssafi…

75
B – D’autres exemples significatifs

Pas toujours apparent, ou, indirectement identifiable, le risque opérationnel est

responsable de nombreuses défaillances dans les établissements de crédit.

1) L’exemple de la Barings

L’effondrement de la Barings a constitué la faillite de l’institution bancaire la

plus ancienne du Royaume Uni 1.
La Barings s’est effondrée car elle n’a pas pu assumer les engagements
financiers pris sur les marchés financiers au nom de la banque par son trader
Nicolas Leeson.
Il faisait croire au siège de la Barings qu’il réalisait des bénéfices alors qu’il
agissait au-delà de son autorisation en prenant des positions à découvert
dépassant des montants autorisés (son statut de responsable de Back Office et de
trading lui ont facilités l’exécution de ces opérations) et cachait ses engagements
dans un compte transit « Error Account – 88888 ».
2
Il avait compromis sa banque sur deux types de contrats : une position "long "
pour une valeur totale d'environ 7 milliards de dollars en dérivés sur des valeurs
japonaises à rendement variable; mais surtout une position "short 3" pour environ
20 milliards de dollars en dérivés sur des taux d'intérêts eux-mêmes conditionnés
par l'évolution de l'indice Nikkei 4. Cela signifie que Nicolas Leeson était sorti de

1
Crée en 1762 par Francis Baring – banque initialement destinée à la négoce de la laine.
2
Être "long", pour un spéculateur, consiste à faire le pari que le prix de quelque chose va monter.
3
Être "short" consiste à parier que le prix de quelque chose va baisser.
4
Indice de bourse Japonais.

76
son mandat qui était d'arbitrer les cours entre les bourses de Singapour et du
Japon, et qu'il s'était lancé dans la spéculation pure. Son pari était que le l'indice
Nikkei monterait, ce qui ferait baisser les taux d'intérêts. Mais il ne pouvait pas
prévoir le tremblement de terre de Kobé et ses conséquences financières.
Persuadé que le marché allait se redresser rapidement, il s’était entêté et paria
davantage pour couvrir les premières pertes. À l'encontre de toutes les règles de
l'arbitrage, il utilisa toutes ses ressources pour acheter de nouveaux contrats au
lieu de se couvrir avec des contrats inverses.
Une accumulation de ces pertes, une fois découvertes, conduisit les dirigeants de
la Barings sous la pression de la Banque d’Angleterre, à céder l’établissement
pour une livre symbolique à la Banque ING.
Cette faillite illustre quelles peuvent être les conséquences du risque humain en
terme de risques opérationnels. Les activités de cet employé ne faisaient l’objet
d’aucune surveillance. En effet, il assurait deux fonctions à la fois : le "front
desk", responsable des opérations, et le "back office", responsable de l'évaluation
quotidienne des engagements pris, c'est-à-dire de l'ampleur des risques encourus.
En d'autres termes, c’est lui – même qui assurait la surveillance de ses risques.

2) L’exemple Sumimoto

L’exemple de Sumitomo est considéré comme la plus grande perte commerciale

dans l'histoire, plus grande que les 1.1 milliards de dollars de Daiwa ou les 1.3
milliards de dollars de Barings. Sumitomo achetait 800 000 tonnes de métal par
an, les vendant aux filiales et aux marchés en plein essor en Asie du Sud-Est, la
plupart de ces ordres ayant été passés par monsieur Hammanaka. Cette société a
été conduite dans le secret par Hammanaka qui a outre passé ses limites en
effectuant des échanges non autorisés. Ses propres transactions secrètes étaient
cachées dans un compte confidentiel ou il a transféré toutes ses pertes.

77
Les doutes sur le risque qu'il a présenté étaient déclarés par un auditeur interne
de la compagnie qui a découvert une transaction non autorisée pour laquelle les
fonds ont transité par une banque étrangère anonyme. Ceci était favorisé quand
les autorités de surveillance et de contrôle au Etats Unis et en Grande Bretagne
ont demandé à Sumitomo de coopérer à une recherche sur la manipulation
suspectée des prix.

Les pertes subies par Sumitomo peuvent être expliquées par le fait que
Hammanaka disposait d'une autonomie peu commune dans l'organisation.

En plus d’être célèbre en raison des affaires et les bénéfices qu'il apportait au
moins sur le papier, son expertise et sa spécialisation l'ont favorisé pour son
maintien dans la section cuivre sur le marché des matières premières, personne
n’osant examiner attentivement ses transactions. Beaucoup de responsabilités lui
ont été confiées par la compagnie.

La révélation des pertes annoncées par son président a provoqué un séisme au

niveau des marchés internationaux entraînant une baisse d'environ 10 % du prix
du cuivre sur les marchés de Londres et New York City. Ses pertes totales étaient
estimées à 2.6 milliards de $.

D'après les affaires précitées, il est concevable de dire que l'origine de ces
déficits ne relève ni de défaillances des créanciers, ni de pertes sur les marchés
en raison d'une fluctuation d'un taux d'intérêt ou d'une volatilité sur les marchés
de change. Les pertes n'étaient pas liés en fait aux risques bancaires classiques
mais plutôt à l'égarement, à la malhonnêteté, aux dépassements d'autorisations et
aux faits de personnes qui se sont laissées déborder dans des situations
hautement complexes. En d'autres termes ils résultaient de l'erreur humaine, et
d'un management trop confiant.

78
Ceci ressort donc à des risques opérationnels, d’une part à un risque de
défaillance interne et d’autre part à une déficience en matière de contrôle interne
dont les principes de base ont été ignorés telles que la séparation des pouvoirs, la
ségrégation de tâches, la supervision des employés et la fixation des limites.

79
 2éme partie :

La cartographie des risques

opérationnels permet de renforcer le
contrôle interne des banques

80
Cette deuxième partie sera traitée sur la base d’un retour d’expérience effectuée
au sein d’un établissement bancaire qui est la BRED, du Groupe BANQUE
POPULAIRE.

La BRED est la plus importante banque régionale du Groupe Banque Populaire.

Elle est établie en Ile-de-France, en Normandie et Outre-Mer.

Banque coopérative, participant au dynamisme du tissu économique local, elle se

développe en gardant vivantes les valeurs qui fondent son identité : la proximité,
la dimension régionale, la solidarité, la responsabilité.

Ses 112 000 sociétaires détiennent le capital de 257 125 000 euros. Ce statut lui
permet d’inscrire ses choix dans la durée.

3 418 collaborateurs sont mobilisés sur des projets porteurs d’avenir, plaçant au
cœur de sa stratégie la satisfaction des clients : 655 000 particuliers, 56 000
professionnels, 20 000 associations et plus de 6000 entreprises et institutionnels.

Elle déploie ses activités de façon équilibrée entre la banque de proximité en

métropole, la banque de proximité Outre-Mer et la banque de grandes entités
économiques, en particulier pour la gestion des flux où elle est reconnue comme
un intervenant de premier plan.

Quelques chiffres clés : Produit net Bancaire  609,5 millions d’euros

Dépôts
monétaires  7,2 milliards d’euros
Crédits à la
clientèle  7,4 milliards d’euros

La BRED développe une stratégie de proximité, elle a mis l’accent sur l’essor de
son réseau et le renforcement des responsabilités de ses directeurs régionaux.

81
Plus de 3 000 points de vente maillent son territoire : agences de proximité,
agences spécialisées dédiées à la gestion patrimoniale, centres d’affaires destinés
aux entreprises (petites et moyennes). Ils sont relayés pour le confort de leurs
clients par l’ensemble des moyens modernes de communication : plates-forme
téléphoniques et site Internet.

La BRED est fortement ancrée dans ses régions, partenaire de longue date des
chambres de commerce et des chambres des métiers, acteur du cautionnement
mutuel au travers des SOCAMA, la banque a acquis une très bonne
connaissance des attentes du monde professionnel.
Elle accompagne ses clients artisans, commerçants, professions libérales,
agriculteurs avec des offres déclinées par métiers, et pour certaines d’entres elles,
construites en partenariat avec des organismes professionnels.

Leader dans l’envoi des paiements en grand nombre et forte de 40 ans

d’expérience dans la gestion des recouvrements et paiements en masse, la BRED
est un acteur majeur dans ces domaines.
Partenaires de référence de nombreuses caisses de retraite, elle est aussi reconnue
par la grande distribution et les Sociétés de Service Public pour la mise en œuvre
de solutions sophistiquées de gestion des flux classiques ou dématérialisées.

Créé par et pour les entrepreneurs, le Groupe Banque Populaire est resté fidèle à
ses engagements d’origine : stimuler les initiatives et l’esprit d’entreprise. Des
engagements qui sont plus que jamais d’actualité.

Le Groupe Banque Populaire s’organise autour de 3 dimensions :

 une dimension coopérative représentée par les Banques Populaires, maisons

mères du Groupe ;
 une dimension fédérale assurée par la Banque Fédérale des Banques
Populaires, organe central du Groupe Banque Populaire ;

82
 une dimension capitalistique à travers Natexis Banques Populaires et ses
filiales, côté sur l’Eurolist Paris.

Proche de ses clients, à la fois par la densité de son réseau et sa capacité d’écoute
des différents marchés, le Groupe Banque Populaire détient une place de leader
dans de nombreux domaines.

Banque des entrepreneurs dès sa création, le Groupe Banque Populaire est

aujourd’hui capable d’être à la fois généraliste et spécialiste afin de répondre aux
attentes de chacun de ses marchés.

Le Groupe Banque Populaire reconnaît comme principes d’action trois valeurs

fondamentales :

L’AUDACE : fondé par des entrepreneurs au service des

entrepreneurs, le Groupe Banque Populaire cultive l’envie d’entreprendre. Il
aime mettre en mouvement l’énergie créatrice de ses clients et collaborateurs. Il
respecte le courage, la ténacité et l’enthousiasme des porteurs de projets
professionnels ou de projets de vie. L’audace d’entreprendre implique
l’optimisme, elle fait progresser constamment.
LA COOPERATION : son histoire, son fonctionnement, son
expérience quotidienne, illustrent l’aptitude du Groupe Banque Populaire à faire
vivre la coopération.
La coopération, c’est agir ensemble pour gagner ensemble, en assumant toutes
ses responsabilités à l’égard du partenaire et de la société. Acteurs majeurs de la
vie économique, solidaires de leur région, les Banques Populaires sont également
solidaires entre elles.
L’HOMME : le Groupe Banque Populaire s’est construit sur le
respect des parcours de vie, des sensibilités, des attentes, des particularités de ses
clients et partenaires.

83
Les Banques Populaires, Sociétés anonymes coopératives, sont les maisons
mères du Groupe. Elles regroupent :

19 Banques Populaires régionales

la CASDEN Banque Populaire qui s’adresse aux personnels de
l’Education nationale, de la Recherche et de la Culture
le Crédit Coopératif , acteur majeur du domaine de l’économie
sociale.

Elles appartiennent à plus de 2,89 millions de sociétaires et incarnent l’esprit

coopératif au quotidien.

De leurs origines, les Banques Populaires ont conservé la pratique d’une

véritable activité régionale.
Ce sont des banques de proximité, proches de leurs clients, de leurs sociétaires et
des multiples acteurs de l’économie régionale, elles sont pleinement engagées
dans la réussite économique et humaine du territoire sur lequel elles sont
implantées. Toutes entretiennent des relations étroites avec les organisations
socioprofessionnelles locales et les organismes consulaires où siègent bon
nombre de leurs administrateurs.

Première des banques de proximités, le réseau des Banques Populaires ne cesse

de s’agrandir. Il compte 2 757 agences depuis l’arrivée du Crédit Coopératif
début 2003. Mais cette proximité se décline aussi à travers tous les canaux de
relations à distance : centre d’appel, banque en ligne, télétransmission.

Le statut coopératif du Groupe Banque Populaire, introduit par la loi du 10

septembre 1947, est une richesse stratégique et un atout de conquête.

84
Les Banques Populaires font l’objet de plusieurs dispositions du Code Monétaire
et Financier telles que l’article L511-30 pour ce qui concerne les organes
centraux ; les articles L512-2 et suivants pour les dispositions générales sur les
Banques Populaires.

La Banque Fédérale des Banques Populaires réunit les fonctions d’organe central
au sens de la Loi Bancaire, de gestion des excédents de trésorerie des Banques
Populaires et de Holding de Natexis Banques Populaires dont elle détient 75 %
du capital.

La Banque Fédérale des Banques Populaires

La Banque Fédérale des Banques Populaires est une banque à part entière. Elle
est la propriété de l’ensemble des Banques Populaires. Elle exerce les missions
de stratégie, de contrôle, de coordination et d’animation du Groupe tout entier.
Son conseil d’administration, composé de dirigeants des Banques Populaires, est
l’instance de décision du Groupe.

Elle est fédérateur du développement. En effet, la Banque Fédérale des Banques

Populaires a pour rôle de faire éclore les projets, de s’assurer de leur faisabilité
globale avant d’en transférer la mise en œuvre opérationnelle aux autres
structures du Groupe. Force de proposition, elle intervient dans le recherche et la
préparation de toutes les décisions stratégiques qui engagent l’avenir du Groupe.

La Banque Fédérale est garante de la solvabilité du Groupe. Cette garantie

repose sur l’intégralité des fonds propres des établissements du réseau par un
mécanisme de solidarité interne. Grâce à ce dispositif, la Banque Fédérale des
Banques Populaires peut mettre en œuvre la solidarité de l’ensemble des

85
Banques Populaires en appelant auprès d’elles, dans la limite de leurs fonds
propres, les concours financiers nécessaires.

MA Banque et i-BP sont deux filiales de la Banque Fédérale de la Banque

Populaire.
La première est une banque de particuliers. Elle s’appuie sur deux pôles
d’activité : son réseau de 24 agences en site au sein de grandes entreprises et la
banque à distance sur des segments de clientèles.
La seconde a pour objectif de fédérer les plates-formes informatiques des
Banques Populaires afin de construire un système adapté aux futurs enjeux de la
distribution en matière de produits et services bancaires.

Natexis Banque Populaire

Fort de plus de 12 700 collaborateurs et de 155 implantations dans le monde, le

véhicule côté du Groupe Banque Populaire construit avec ses clients (entreprises
grandes et moyennes, clientèles institutionnelles, réseau des Banques Populaires)
une relation de partenariat dans la durée, tant au plan national qu’international.

Acteur majeur des activités de financement, Natexis Banques Populaires est

présent auprès de la quasi-totalité des plus grandes entreprises françaises. Avec
se filiale Coface, il figure parmi les leaders mondiaux de l’assurance-crédit et des
services de crédit management.
Il est l’un des principaux intervenants en matière de capital-investissement,
d’ingénierie financière et joue un rôle actif dans l’intermédiation sur les marchés
de capitaux. Il se situe également au premier rang des prestataires de services à
fort contenu technologique. Bancassureur, gestionnaire d’actifs reconnu, il est le
leader en France en épargne salariale.

86
Quelques chiffres :
2 708 M€ produit net bancaire
407 M€ résultat net part du groupe
117 implantations à l’étranger
12 786 collaborateurs

L’avenir du Groupe Banque Populaire : NatIxis

NatIxis est un projet ambitieux et novateur aux dires du Groupe. Une période de
négociations exclusives a débuté le 12 mars 2006. Le 6 juin 2006, le Président du
Groupe Banque Populaire et le Président du Directoire de la Caisse Nationale des
Caisses d’Epargne ont signé le protocole d’accord définissant les modalités de
création de leur filiale commune : NatIxis. Celle-ci regroupera leurs activités de
banque de financement, d’investissement et de services. Le 6 juillet, un comité
de pilotage a d’ailleurs été institué.
En tant que banque de financement et d’investissement, NatIxis, sera la
quatrième acteur français, et le 15 ème groupe mondial dans la gestion d’actifs. Les
deux groupes représentent 20% du marché de la banque de détail en France. Les
complémentarités sont prometteuses, malgré des doublons dans quelques
métiers. Le nouvel ensemble doit voir le jour le 1 er janvier 2007.

87
J’ ai effectué un stage au sein de cet établissement, et plus précisément à la
Direction des Risques Opérationnels. J’ai participé à l’élaboration de la
cartographie des risques opérationnels.
La démarche répond à celle qui sera exposée dans cette partie, plus précisément,
dans le chapitre qui suit.
Le but de cette partie n’est pas de détailler la mission qui m’a été confiée au sein
de la BRED ; cependant, j’illustrerai mes propos à l’aide d’exemples tirés de ma
mission, en intégrant en filigrane la démarche de la BRED

88
Chapitre 1 : Comment la cartographie des risques opérationnels
permet de se doter d’un cadre commun de maîtrise des risques ?

I – La démarche de la cartographie des risques opérationnels

La cartographie des risques opérationnels répond à une démarche qui consiste à

identifier l’ensemble des évènements des risques1 pouvant survenir sur une
activité donnée. Pour se faire, et dans un soucis d’exhaustivité, il convient en
premier lieu de découper les activités de la banque en processus2.
Les évènements à risques sont associés à chaque processus générique.
Dans cette étape, on cherche à identifier tous les évènements à risques qui
peuvent se produire lors d’un processus et qui pourraient avoir des conséquences
sur son déroulement.
Certains évènements types peuvent se retrouver comme évènements à risques
dans un grand nombre de processus, par exemple l’erreur humaine ou
l’interruption du système d’information.
La démarche d’identification des évènements à risques peut se faire selon
plusieurs approches qui associeront plus ou moins les opérationnels.

Une approche souvent retenue dans les banques, notamment à la BRED, est
l’approche BOTTOM – UP qui consiste à interroger les collaborateurs des
différents services de la banque pour qu’ils déterminent à dire « d’experts » les
processus sur lesquels touchent leurs activités, ainsi que les risques qui y sont
associés.

1
Un événement à risque correspond à la survenance d’un risque telle que définie par la
réglementation Bâle II.
2
Un processus est une suite continue de faits, de phénomènes présentant une certaine unité ou
une certaine régularité dans leur déroulement (processus social, de croissance…).Les processus
permettent à l’entité de pouvoir inclure ses spécificités locales dans le découpage de son activité.

89
A – Recenser les activités et les risques associés

Il s’agit dans un premier temps, d’identifier et segmenter les activités de la

banque.
Ce découpage répond tout d’abord à une problématique organisationnelle, mais
également à une logique projet.
Ainsi, dans le cas de la réglementation Bâle II et de dans le cadre de la BRED
notamment, les activités des établissements de crédits sont appréhendées selon
différentes lignes de métiers, transposées dans un référentiel national défini par
Bâle II, et un référentiel BANQUES POPULAIRES pour la BRED.

90
 TABLEAU DU REFERENTIEL NATIONAL DE DOMAINES ET SOUS -DOMAINES
DOMAINES SOUS-DOMAINES DEFINITION LIGNE METIER BALE Commentaire
Retail banking / Selon type clientèle (retail ou
Virements Inclus les virements émis et les virements reçus.
Commercial banking corporate)
Retail banking / Selon type clientèle (retail ou
Prélèvements Inclus les prélèvements émis et les prélèvements reçus.
Commercial banking corporate)
Inclus les encaissements et paiements sur chèques, les chéquiers émis, les Retail banking / Selon type clientèle (retail ou
Chèques
oppositions sur chèques, etc. Commercial banking corporate)
Inclus le traitement des remises d'effets, la gestion des impayés, les LCR, les Retail banking / Selon type clientèle (retail ou
Effets
effets commerciaux, les billets à ordre, etc. (Sont exclus les billets de trésorerie). Commercial banking corporate)
Concerne les opérations cartes avec les commerçants.
Monétique commerçants Retail banking
Inclus l’encaissement des opérations CB, la gestion du parc de TPE, etc.
Concerne les opérations cartes avec la clientèle de détail.
Monétique porteurs Retail banking
Inclus le paiement des opérations CB, les oppositions sur cartes, etc.
Inclus les retraits ou les versements d'espèces, la gestion des flux ou du stock,
Espèces Retail banking
MOYENS DE etc.
PAIEMENT Change Inclus l’échange de devises. Retail banking
Inclus les transferts effectués par la BRED, gestion des flux de règlement de
masse, etc. Activité spécifique BRED et NBP pour
Paiements de masse Payment & settlement
sa clientèle propre
(paiements de masse nationaux et internationaux)
Inclus les mécanismes de compensation (i.e. la sous-traitance moyens de
Accès au système de place Payment & settlement Activité spécifique NBP
paiement des banques au sein de NBP)
Centralisation et autorisation des
Inclus la gestion des serveurs d’autorisation pour les paiements, etc. Payment & settlement Activité spécifique NBP
flux monétiques
Inclus les transferts de fonds, les rapatriements de fonds, la remise documentaire, Retail banking / Selon type clientèle (retail ou
Moyens de paiement internationaux
etc. Commercial banking corporate)
Echanges de données informatisées Retail banking / Selon type clientèle (retail ou
Inclus l’adhésion au contrat, la mise à disposition du logiciel, etc.
hors transfert de masse Commercial banking corporate)
Autres moyens de paiement Inclus les tickets restaurants, les chèques vacances, etc. Retail banking
Assurance-vie Inclus la souscription des produits d'assurance-vie, le traitement des sinistres, etc. Retail banking

Inclus la gestion du compte, l'ouverture, le transfert et la clôture de comptes

d’épargne, la gestion des aspects réglementaires, etc. Retail banking / Selon type clientèle (retail ou
Epargne monétaire
Commercial banking corporate)
(hors TCN émis par la banque pour les Corporate cf. Marchés/Trésorerie)
Inclus la gestion du compte, la souscription, le transfert, le rachat de parts
EPARGNE Parts sociales Retail banking
sociales, le paiement des intérêts, etc.
Retail banking / Selon type clientèle (retail ou
Epargne salariale Inclus la mise en rapport avec Interépargne.
Commercial banking corporate)

Inclus les ouvertures, les transferts et les clôtures de comptes titres, la gestion des
Retail banking / Selon type clientèle (retail ou
Epargne financière aspects réglementaires, etc. (= la tenue de compte titres au sens large, les
Commercial banking corporate)
passages d'ordres sont inclus dans le domaine Métier Titres)

Crédits particuliers Inclus l'instruction, la réalisation, la surveillance, le contentieux, etc. Retail banking
Inclus l'instruction, la réalisation, la surveillance, le contentieux, etc.
Retail banking / Selon type clientèle (retail ou
Crédits professionnels
Inclus les mobilisations de créances commerciales (Dailly, escompte, import, Commercial banking corporate)
export, etc.)

Inclus l'instruction, la réalisation, la surveillance, le contentieux, etc.

ENGAGEMENTS Inclus les mobilisations de créances commerciales (Dailly, escompte, import, Retail banking / Selon type clientèle (retail ou
Crédits entreprises
export, etc.) Commercial banking corporate)

Inclus les rôles de participant à une syndication ou un financement d’actifs.

Retail banking / Selon type clientèle (retail ou

Crédit bail & location financière Inclus l'instruction, la gestion des loyers impayés, etc.
Commercial banking corporate)
Retail banking / Selon type clientèle (retail ou
Affacturage Inclus la souscription d’une offre d’affacturage, etc.
Commercial banking corporate)
Distribution d'assurance IARD /
Inclus les souscriptions, résiliations, sinistres, la gestion des impayés, etc. Retail banking
Prévoyance
Gestion privée Inclus la gestion sous mandat (patrimoine), la réalisation d’étude patrimoniale, etc. Retail banking

Intermédiation immobilière Inclus la recherche et la commercialisation de biens immobiliers pour les clients. Retail banking
Gestion de la trésorerie d'entreprise
Inclus la gestion sous mandat de trésorerie d'entreprise corporate. Asset management
corporate
Assurance crédit Gestion des postes clients pour le compte de tiers Commercial banking
Fusions acquisitions Inclus les mandats de conseil à l’achat ou à la vente Corporate Finance
Inclus les introductions en bourse, augmentations de capital, émissions obligataire,
Marché primaire Corporate Finance
placements de blocs, etc.
Accompagnement bancaire à
SERVICES ET Offre filiale Pramex Corporate Finance
l'international
CONSEIL
Inclus la création d’un prospect, l’ouverture de compte courant, la clôture, la saisie
Gestion de la relation et des Retail banking / Selon type clientèle (retail ou
attribution, les extournes, la location de coffre-fort, la centralisation pour client du
comptes clients Commercial banking corporate)
Groupe, les successions, la gestion des conventions de service (i-BP), etc.

91
Tableau des typologies d’événements de risque :

FAMILLES CATEGORIES SOUS-CATEGORIES

Interruption d'activité, défaillance des
Sécurité de l'information et des systèmes
systèmes

Saisie, exécution et livraison des opérations

Reporting et pilotage

SYSTEMES ET
Admission de client et documentation
PROCESSUS Exécution, livraison et management
des processus
Gestion de comptes clients

Tierces parties prenantes à la réalisation d'opérations

commerciales

Fournisseurs de biens et services

Dommages aux biens Désastres et autres événements

Vol et fraude
Fraude externe
FRAUDE ET RISQUES
Systèmes de sécurité
EXTERNES

Activité non autorisée

Fraude interne
Vol et fraude

Gestion des ressources humaines

Gestion des ressources humaines et

Sécurité de l'environnement
sécurité du travail

Discrimination

Pratiques inappropriées (non-respect du bien fondé ou du

JURIDIQUE ET secret bancaire, divulgation d'information)
DEONTOLOGIQUE
Pratiques ou activités commerciales inadaptées

Clients, produits et pratiques

Défauts produits
commerciales

Sélection des clients, garantie et exposition aux risques

Activité de conseil

Positionnement sur les marchés

STRATEGIQUES Risque de positionnement
Gouvernement d'entreprise

Moyens humains Management de la gestion sociale

92
Ce premier cadre étant posé, il convient de découper plus précisément chaque
activité selon une logique processus. C’est cet éventail de processus qui va
permettre d’appréhender ensuite les différentes activités selon une optique
risques.
En effet, pour chaque processus il convient de se poser la question des différents
risques opérationnels associés.
Dans le cadre de cette démarche, un risque correspond à l’enchaînement suivant :
une cause, un événement, des conséquences.

Cause Evènement Conséquences

Un risque représente le dysfonctionnement d’un processus à un instant T.

Selon le Comité de Bâle, le risque opérationnel est un « risque de pertes résultant
de carences ou de défaillances attribuables à des procédures, personnels et
systèmes internes ou à des événements extérieurs. » Le référentiel de risques,
fourni précédemment, regroupe des dysfonctionnements possibles auxquels peut
être confrontée l’entité bancaire :

Exemples : Absence ou erreur d’enregistrement ou de saisie des données, vol de

documents justificatifs, délit technologique, récupération inexistante ou
incomplète des documents justificatifs, etc.

93
Des travaux d’homogénéisation et de reformulation ont été conduit sur cette liste
afin d’éviter la confusion avec les causes ou les conséquences mais également
afin que le positionnement du risque sur l’opération victime de
dysfonctionnement au sein du processus apparaisse clairement.

Le référentiel de risques national présenté constitue un guide pour la formulation

et la construction des événements de risques. Les étapes suivantes de constitution
d’un événement de risque résident en la détermination de la cause et des
conséquences de l’occurrence d’un risque.

La cause d’un risque représente l’élément sur lequel il est possible d’agir afin
d’empêcher l’occurrence du risque ; elle est l’élément générateur de ce dernier.
Les causes sont classées selon le découpage suivant :

Acteurs (à l’origine du risque)

Client
Prestataire
Tiers
Interne (Agence / Siège)

Ressource (à l’origine du risque)

Système d’information (software et hardware)
Matériel (Trieuse chèque, scanner, TPE, etc.)
qualification à savoir : d’une part, s’il s’agit de la malveillance et d’autre part,
s’il s’agit d’une défaillance ou d’une inadéquation.

Ces catégories, avec leur qualification, constituent le référentiel national utilisé

par toutes les entités, notamment du groupe BANQUE POPULAIRE.

94
Néanmoins, pour des besoins de gestion efficace du risque, une cause locale plus
détaillée est ajoutée.
Cette cause locale permet, au libre choix de chaque établissement, d’effectuer
des analyses plus précises de l’origine des risques et d’en améliorer ainsi leur
maîtrise.

Par exemple, le nom du prestataire à l’origine d’un risque peut être associé à la
cause du référentiel national :

Cause référentiel national Prestataire

Qualification Inadéquat ou défaillant
Cause locale Transporteur de fonds (ou nom de la société)

De même, le nom du service à l’origine d’une erreur humaine peut compléter la

cause nationale :

Cause référentielle nationale Interne

Qualification Inadéquat ou défaillant
Cause locale Service Chèques

Une conséquence est un effet provoqué par la survenance d’un risque. Elle peut
appartenir à deux catégories :

Financières :

Pertes : perte financière directe

Manque à gagner : perte financière indirecte

95
Qualitatives :

Réglementaire : pénalités, amendes ou retraits d’agréments

Juridique : assignation civile ou pénale
Humain et social : santé, sécurité des employés ou climat social
Risque d’image : impact médiatique
Insatisfaction client : dégradation des services fournis aux clients
Impact risque de crédit : augmentation de la probabilité de défaut ou des pertes
après défaut
Impact risque de marché : augmentation de la volatilité ou exposition au marché
Interruption de processus : déroulement du processus stoppé.

Chacune de ces causes est précisée selon les circonstances (contexte intentionnel
ou pas) et au moyen de qualifications.
En effet, pour chaque risque, on s’intéresse à sa qualification à savoir, s’il s’agit
de « la malveillance » ou de « la défaillance ou d’une inadéquation » ; ces
qualifications sont distinctes, pour lesquelles il y a des actions différentes.
En effet, en ce qui concerne la malveillance, elle émane d’une personne, que ce
soit d’un client (on parlera généralement de fraude externe) ; ou bien il peut
s’agir d’un collaborateur de la banque (auquel cas, on parlera de fraude interne).
Quant à la défaillance, il peut s’agir par exemple d’une défaillance des systèmes
informatiques, interrompant la continuité des activités d’un service.

Enfin, l’inadéquation peut concerner un des outils informatiques devenu obsolète

et ne permettant plus de répondre aux besoins de l’activité.

Un même risque peut compter plusieurs conséquences. Toutefois, l’objectif est

de sélectionner que les conséquences directes induites par l’occurrence d’un
risque, tout en écartant les conséquences indirectes ou contingentes.

96
Dans un premier temps, les conséquences qualitatives seront sélectionnées sans
être évaluées. Ultérieurement, lors de l’évolution du dispositif, des échelles
d’évaluation chiffrées pourront être définies pour les conséquences qualitatives
qui peuvent l’être.
Ainsi l’identification et la formulation des évènements de risques consistent en
un découpage d’un événement de risques en cause, risque et conséquence(s)
permettant de faciliter sa cotation, et en utilisant la cause pour évaluer la
fréquence, et la (ou les) conséquence(s) pour évaluer la sinistralité.
Les événements de risques sont classés au sein d’une typologie nationale
comprenant quatre grandes familles (systèmes et processus, fraudes et risques
externes, juridique et déontologique, stratégiques) découpées chacune en
catégories et sous catégories.

Exemple 1 :

Famille Systèmes et processus

Catégorie Exécution, livraison et management des processus
Sous-catégorie Saisie, exécution et suivi des opérations

Exemple 2 :

Famille Fraude et risques externes

Catégorie Fraude interne
Sous-catégorie Activité non autorisée

Cette typologie correspond à celle définie par le Comité de Bâle.

Cette liste couvre de façon exhaustive tous les types d’événements auxquels
l’entité peut être confrontée. L’affectation d’un évènement de risque au sein
d’une catégorie s’appuie sur les éléments cause et risque d’un événement de
risque.

97
Exemple 1 :
Cause Tiers / Malveillant
Risque Vol de valeurs
=> Classification dans la catégorie « Fraude externe »

Exemple 2 :
Cause Système d’information / Inadéquat ou défaillant
Risque Divulgation d’informations confidentielles
=> Classification dans « Systèmes d’information »

Exemple 3 :
Cause Système d’information inadéquat ou défaillant
Risque Perte de documents justificatifs
=> Classification dans « Saisie, exécution et livraison des opérations »

La typologie des événements de risques et le référentiel de risques constituent

des supports afin de guider respectivement l’identification puis la formulation
des événements de risques.

L’identification des événements de risques s’appuie sur l’expertise, la

connaissance et l’expérience des opérationnels. Sous forme d’auto évaluation,
elle consiste pour l’opérationnel à parcourir l’activité définie au sein d’un
processus par ses principales étapes et à identifier, à l’aide de la typologie
nationale des événements de risques, les aléas qui pourraient remettre en cause le
bon fonctionnement du processus. La typologie nationale couvre tous les types
d’événements de risques auxquels l’entité peut être confrontée, elle constitue
donc une « grille de lecture » facilitant leur identification.

Une fois identifié, l’événement de risque est formalisé et découpé en éléments

prédéfinis : risque, cause et conséquence(s).

98
Par exemple :

Au sein du domaine « Engagement »

Du sous domaine « Crédit particuliers »
Du processus « Instruction d’un crédit »
L’opérationnel, en parcourant la typologie d’événement de risques, identifie au
sein de la catégorie « Saisie, exécution et livraison des opérations » un risque de
perte des documents justificatifs lors de la constitution des dossiers.

99
B – Identifier et évaluer les risques les risques opérationnels

Une fois les différents évènements de risques identifiés sur chaque activité,
l’objectif de la cartographie des risques opérationnels, consiste à les évaluer.
Cette étape aussi appelée « cotation » s’articule autour de deux informations
principales : la survenue du risque confrontée aux pertes financières.
Cette étape permet de hiérarchiser les événements de risques afin d’en isoler les
majeurs, et donc, de les prioriser, et d’instaurer un suivi quotidien et les actions à
mettre en œuvre. Il faut noter que les conséquences les plus qualitatives sont
aussi prises en compte dans l’appréciation des risques pilotés.

L’approche est découpée en deux temps :

Tout d’abord, la cotation historique s’effectue à dire d’expert.

En effet la cotation de la fréquence historique répond aux questions :
l’événement de risque est-il déjà survenu ? Si oui, combien de fois dans le
passé ?
Alors que la cotation de la sinistralité historique répond à la question : quel coût
la survenance de l’événement de risque engendre-t-elle en moyenne (sur un seul
événement) ?
Enfin, il faut retenir un « Scénario défavorable »: de par le passé, dans une
situation très défavorable, la survenance de l’événement de risque a-t-elle
engendré un coût exceptionnel ?

La cotation prospective s’effectue aussi à dire d’experts, c’est – à – dire sur

déclarations des collaborateurs.
Ainsi, la cotation de la fréquence prospective répond à la question : combien de
fois l’événement de risque pourrait-il survenir dans les 12 prochains mois
(contrainte réglementaire) ?
Pareillement la cotation de la sinistralité prospective, est également faite et pour
laquelle il faut répondre à la question suivante : quel serait le coût induit par la
survenance de l’événement de risque dans le futur (sur un événement) ?

100
Enfin, il faut aussi envisager un « Stress scénario » : cela revient à se poser la
question suivante : en cas de scénario catastrophe dans le futur (environnement
très défavorable), quelle serait la sinistralité maximale encourue ?

La cotation doit tenir compte du dispositif de contrôle ; elle porte sur des
événements de risques nets, c’est – à – dire, incluant l’appréciation de l’efficacité
du dispositif de contrôle par l’opérationnel.
Parallèlement à la cotation des événements de risques, l’opérationnel évalue la
qualité du dispositif de contrôle mis en place au sein de ses processus. Le
dispositif de contrôle est donc coté indépendamment de l’événement de risque.

Les échelles de cotation retenues pour la survenance « avérée ou potentielle »

des risques opérationnels sont les suivantes :

Moins d’une fois tous les 5 ans

Moins d’une fois par an
Quelques fois par an (entre 1 et 15 fois par an)
Quelques fois par mois (entre 16 et 50 fois par an)
Quelques fois par semaine (entre 51 et 350 fois par an)
Quelques fois par jour (plus de 350 fois par an)

De même, une cotation pour la sinistralité des risques opérationnels, c’est – à –

dire pour leur coût, a également été retenue :

Moins de 1 K€
De 1 à 10 K€
De 10 K€ à 100 K€
De 100 K€ à 1 M€
De 1 M€ à 10 M€
Plus de 10 M€

Il est à noter que le niveau de sinistralité est évalué pour un seul événement de
risque.

101
Ensuite, la question du dispositif de Contrôle se pose, il s’agit là aussi d’établir
une échelle d’évaluation :

Efficace (au moins 75% de pertes évitées)

Moyen (de 50% à 75% de pertes évitées)
Insuffisant (de 25% à 50% de pertes évitées)
Inefficace (moins de 25% de pertes évitées)

Enfin, sur la base des données collectées, la démarche consiste à déterminer une
cotation finale de l’évènement de risque.
Elle est obtenue en croisant les bornes des intervalles de fréquence et de
sinistralité attribués par l’opérationnel.

Par exemple, si l’opérationnel affecte une fréquence de « Quelques fois par

mois » et une sinistralité « De 100 K€ à 1 M€ » à un événement de risque alors la
cotation finale sera établie selon le mode suivant :

102
 Entre 1 500 et 50 000 K€
Moins d’une fois tous
les 5 ans
Moyenne de 17 875 K€
Moins d’une fois par an

50 …………. 50
Quelques fois par an (entre 1
et 15 fois par an)
…
…
Quelques fois par mois (entre
32,5 ….... 17 …
16 et 50 fois par an)
… …. ….
Quelques fois par semaine
..1
15 .. .
(entre 51 et 350 fois par an)
100 … 550 … 1
Quelques fois par jour (plus
de 350 fois par an)

Moins de De 1 K€ à De 10 K€ De 100 K€ De 1 M€ à Plus de

1 K€ 10 K€ à 100 K€ à 1 M€ 10 M€ 10 M€

L’impact de l’événement de risque se situera entre 1 500 et 50 000 K€ par an

avec une moyenne de 17 875 K€ par an. Ainsi les événements de risques seront
hiérarchisés en fonction de leur impact potentiel 1.

Un événement de risque est considéré comme « majeur » si son impact potentiel

annuel dépasse un seul fixé préalablement2. Les seuils d’événements de risques
majeurs locaux sont déterminés par La Direction Générale de l’entité en fonction
de sa politique de gestion des risques.

1
On étudie les risques (survenance de risques par an et leur coût). Ensuite, on croise les
informations et on arrive à déterminer les pertes pour un événement : croise deux séries de
valeurs (ce sont des intervalles), les deux grandes amplitudes de pertes (1500 et 50000) et on
obtient le coût moyen par an : 32.5*555=17875
2
Lors de l’évolution du dispositif, le caractère « majeur » d’un événement de risque pourra
s’appuyer sur une évaluation chiffrée des conséquences qualitatives, au moyen d’échelles pré
définies.

103
En appliquant ce seuil sur la liste hiérarchisée des événements de risques, l’entité
pourra dégager une liste d’événements de risques majeurs sur lesquels une
attention particulière sera portée.

L’identification des risques opérationnels se fait avant toute prise en compte d’un
dispositif de maîtrise des risques existant. Elle se fait au niveau de chaque
processus et de chaque risque opérationnel qui leurs sont associés.
En général, l’identification et l’évaluation se fait sur les risques principaux en
restant au niveau des processus génériques. Il est possible de descendre à un
niveau plus bas, c’es- à – dire, au niveau des sous – processus, afin d’approfondir
le degré de maîtrise des risques opérationnels.
L’évaluation porte sur les impacts (financiers, d’image, réglementaire…) et la
fréquence des évènements retenus (très faible, faible moyen, fort…).
Cette phase d’estimation des risques, suppose que tous les risques soient recensés
même s’ils son couverts par un dispositif de maîtrise approprié.

En somme, tout établissement de crédit encourent des risques opérationnels ; la

prétention de la cartographie des risques opérationnels n’est pas de les faire
disparaître (vision malheureusement utopique), mais de les maîtriser
davantage et de les réduire: il s’agit de prévenir les incidents ou d’éviter les
pertes .
De fait, dans un cadre de saine gestion des risques opérationnels, il est pourrait
être envisageable de se centrer dans un premier temps sur les principaux risques,
c’est – à – dire, les plus fréquents ou les plus générateurs de pertes.

L’environnement bancaire étant mouvant certains risques apparaissent tandis que

d’autres disparaissent ; ce postulat amène à penser que cette démarche de
cartographie des risques opérationnels ne doit pas se délimiter dans le temps. En
effet, elle devra être régulièrement mise à jour, d’autant plus que la base pertes
pourrait contribuer à répondre à cet impératif.

104
 C – Envisager les actions

Une fois certains risques identifiés, il s’agit ensuite de limiter les conséquences
de ces risques et leur réalisation.
Cette étape consiste à définir des actions préventives et atténuatives ; ceci étant,
les actions s’inscrivent généralement dans les plannings des différents services
sollicités.

Le risque opérationnel réellement supporté par la banque, est fonction du

dispositif de maîtrise mis en œuvre pour prévenir ou éliminer les évènements à
risque. Après avoir identifier tous les risques potentiels, un inventaire des
mesures existantes qui auraient un impact réducteur doivent être estimer pour
connaître l’impact de ces réductions.

Pour cela, il faut identifier tous les éléments qui encourent à la maîtrise des
risques, c’est – à – dire :
  les dispositions organisationnelles,
  le dispositif de contrôle mis en place,
  les outils de suivi de l’activité et de son bon déroulement,
  les éléments de réduction ou de transfert de risque.

Cette démarche est effectuée par les opérationnels qui portent un jugement sur le
degré de maîtrise des risques, à dire d’experts.

Afin de gérer les risques, deux grands types de plans d’action peuvent être mis
en place :

  des plans d’action de prévention : ils ont pour objectif d’anticiper et de réduire
la probabilité de survenance du risque.

105
 Exemple : mise en place de procédures, optimisation des contrôles,
développement de blocage système, etc.

  des plans d’action d‘atténuation : ils ont pour objectifs de réduire les effets et
les conséquences de la survenance d’un risque.

Exemple : assurances, recours légal, etc.

En vue du suivi de la correcte mise en œuvre et des effets des plans d’action, les
principales caractéristiques à mentionner dans un futur tableau de suivi des
risques opérationnels pourraient être les suivants :
  La description du plan d’action ;
  Son objectif ;
  Le niveau de validation obligatoire ;
  Le responsable de mise en place ;
  Le coût de sa mise en place ;
  Le niveau de priorité (à l’échelle de l’entité) ;
  Un planning indicatif de déploiement ;
  Son rattachement au référentiel de risque opérationnel ;
  L’implication des autres directions ;
  Les éventuelles contraintes externes (groupe et hors groupe) ;

Une gestion efficace des risques opérationnels suppose une coordination dans
l’identification et dans la mesure des risques de façon à pouvoir les comparer les
uns par rapport aux autres et être capable d’arbitrer les différentes actions à
entreprendre au niveau de la banque. Cela doit se traduire par une méthodologie
commune à décliner dans les différentes directions, par des indicateurs validés de
façon centrale.

106
La gestion des risques opérationnels a pour objectif d’améliorer et de fiabiliser
les procédures pour limiter et pour éviter que les risques opérationnels ne
puissent être provoqués par malveillance ou simple erreur.
Ces actions doivent toutes les deux s’appuyer sur une connaissance précise des
procédures et des contrôles.

107
 II – « Articulation et application symbiotique » de la
cartographie des risques opérationnels par le Contrôle
Permanent et par le Contrôle Périodique

Risques opérationnels
Risques de marché
20%
10%

Risques de crédit
70%

La part des risques opérationnels dans la banque

Comme le risque de crédit ou le risque de marché, la quantification du risque

opérationnel est déterminée pour l’allocation des fonds propres à alloués.
L’objectif est d’établir un lien entre la qualité du contrôle interne et la
valorisation du risque opérationnel, qui permet d’influer sur le pilotage et sur la
contribution du contrôle interne.
Il s’agit d’effectuer un travail de formalisation, d’harmonisation, de
centralisation et de consolidation des différents risques identifiés par les équipes.
La cartographie des risques opérationnels est un outil pour le contrôle interne
dans les banques.

Les contrôles s’organisent à trois niveaux : le premier est axé autour du contrôle
permanent (a priori et a posteriori), mis en œuvre au niveau de chaque entité

108
opérationnelle et repose sur le respect permanent de la réglementation et des
procédures en vigueur. Ce sont les collaborateurs de ces entités opérationnelles
qui ont aidés à la réalisation de la cartographie des risques opérationnels : ils en
sont les principaux acteurs et la gestion des risques opérationnels et de la
cartographie des risques opérationnels, leur incombe en premier.
Les contrôleurs de second niveau sont répartis au sein des différents services. Ils
ont une fonction précise de « lutte » contre les risques opérationnels. Dans ce
cadre, le contrôle se base aussi sur le respect de la réglementation en vigueur et
des procédures internes et porte notamment sur la vérification de l’application
correcte des dispositifs, au quotidien.
Enfin, le troisième niveau est constitué par l’Audit interne, qui vérifie
périodiquement que les contrôles de premier et de second niveau sont effectués
avec les diligences requises.

L’articulation « symbiotique » entre la cartographie des risques opérationnels et

les contrôles tant permanent que périodique de la banque consiste à dire qu’il y a
une logique de convergence dans la gestion des risques opérationnels entre ces
diverses entités et la cartographie des risques opérationnels.
En effet, les fonctions de contrôles permanent et périodiques calent leur mission
sur la cartographie des risques opérationnels, tout en veillant à ce qu’elle soit
toujours d’actualité.
Ainsi cette utilisation fréquente de la cartographie des risques opérationnels par
ces fonctions, permet de la faire évoluer en même temps que les risques
opérationnels eux – même, ce qui fait que la cartographie des risques reste
toujours adéquate aux dispositifs de contrôle interne.

Il convient d’étudier cette utilisation de la cartographie des risques opérationnels

par le contrôle permanent (A), qui s’en sert de façon journalière, et l’emploi qui
en est fait par le contrôle périodique, qui a priori, le fait de façon ponctuelle (B).

109
A – Gestion des risques opérationnels et de la cartographie des
risques par le Contrôle Permanent

La notion de système de contrôle interne a été introduite par le règlement CRBF

97/02, qui implique la mise en œuvre de mesures de contrôle interne, de sorte à
s’assurer une maîtrise des risques.
En outre, c’est dans ce cadre que la notion de « maîtrise des risques
opérationnels » a été associée à celle de « contrôle interne » au sens de la 97/02.
Par ailleurs, la réforme du 31 mars 2005 de la 97/02, inclut explicitement la
notion de risque de non – conformité, dans le champs des risques opérationnels.

En effet, le règlement indique que les établissements doivent se doter d’un

contrôle interne qui comprend :

- un système de mesure de contrôle des opérations et des procédures internes,

- une organisation comptable,
- des systèmes de mesure des risques et des résultats,
- des systèmes de surveillance et de maîtrise des risques,
- un système de documentation et du traitement de l’information,
- un dispositif de surveillance des flux d’espèces et de titres.

La question qui se pose est celle de savoir quel est le lien entre les risques
opérationnels, la cartographie des risques opérationnels et le contrôle permanent.

Le dispositif de maîtrise des risques opérationnels complète celui du contrôle

interne,en ce sens où, le dispositif de contrôle vise l’ensemble des activités,
s’adapte aux risques quels qu’ils soient dans la banque, et plus spécifiquement
ici, aux risques opérationnels.
De plus, le dispositif de contrôle interne s’imbrique dans la cartographie des
risques opérationnels, ce qui crée un lien entre le contrôle permanent (de même
qu’avec le contrôle périodique), en ce sens où la cartographie identifie les
différents métiers de la banque ainsi que les processus qui en découlent, les

110
risques qui sont rattachés à ces activités, les modalités de gestion de ces risques,
ainsi que les incidents et les pertes par typologie de risques. C’est de cette
analyse et lecture de la cartographie des risques que va découler les contrôles
permanents.

En effet, la cartographie des risques opérationnels a une incidence sur les

dispositifs de contrôle interne et sur la gestion des risques, par le contrôle
permanent, en ce sens où lorsque les contrôles sont effectués, les contrôleurs
effectuent leurs contrôles en fonction des risques identifiés, et ils se basent sur
l’analyse des risques faite dans la cartographie des risques opérationnels.
Cette analyse de la cartographie des risques opérationnels, est plus concrètement,
effectuée par les collaborateurs, car la cartographie ainsi analysées, doit servir
aux contrôleurs permanents. En effet, le contrôleur permanent lors de sa mission
de contrôle, rapproche sa vision des risques ainsi que l’analyse qu’il en fait, à
celles des opérationnels.

Ainsi, à l’issue du contrôle, grâce à cette vision rapprochée de l’analyse des

risques par les opérationnels et les contrôleurs, ces derniers peuvent, soit détecter
des anomalies, dans l’identification des risques, soit, valider les indicateurs de
risques et conforter la cartographie, les analyses des opérationnels ainsi que la
gestion et la maîtrise qu’ils en font.

En somme le rôle du contrôle permanent dans la gestion des risques

opérationnels et de la cartographie des risques permet d’aider les opérationnels
dans leurs actions quotidiennes, notamment en terme de contrôle de premier
niveau, (c’est – à – dire, pour répondre aux exigences du dispositif de contrôle
interne imposé par le Règlement CRBF 97/02). De même, cette double analyse
tant des opérationnels que des contrôleurs permanents, tend à crédibiliser les
éléments de la cartographie des risques définis par les opérationnels de la
banque.
Enfin, ce suivi et cette gestion des risques par les contrôleurs permanents et les
opérationnels, abouti à un système itératif entre ces deux entités de la banque.
En effet, une collaboration est nécessaire entres ces différentes entités de la
banque, qui seront amenées à alimenter quotidiennement la cartographie des

111
risques et à la faire évoluer en même temps que de nouveaux risques pourraient
survenir.
En outre, cette coopération répond aux objectifs de la réglementation de Bâle II,
en matière de saine gestion des risques et implique nécessairement une
sensibilisation plus concrète et peut – être, une acceptation plus naturelle des
risques opérationnels attachés aux activités bancaires.

112
B – Le suivi et la gestion du risque opérationnel et de la
cartographie des risques par le Contrôle Périodique

Le régulateur a fixé des objectifs de maîtrise de risques de plus en plus exigeants.

En France, le règlement 97/02 du 21 février 1997 relatif au contrôle interne des

établissements de crédit et des entreprises d’investissements constitue le socle
réglementaire en la matière, complété par la suite dans la logique de Bâle II,
notamment par les modifications apportées par le règlement n° 2004/02 du 15
janvier 2004, lequel a étendu la notion de risques opérationnels. Le Comité de
Bâle II attribue à la fonction d’Audit interne, un rôle en matière de risques
opérationnels. En effet le Comité donne la possibilité à l’Audit d’étendre son
champ d’action en renforçant son autorité.
S’agit – il d’une opportunité ou d’un défi pour l’Audit interne ? Car les
« dispositions de Bâle II requièrent une forte technicité qui, si elle n’est pas
exercée par l’Audit interne, risque de réduire son magistère au profit d’autres
entités indépendantes d’évaluation 1 ».

L’Audit interne consacre l‘essentiel des ses missions à vérifier que les procédure
internes et que la réglementation sont à jour et appliquées par les opérationnels
de façon quotidienne.

La gestion du risque opérationnel par l’Audit interne passe par plusieurs étapes :
tout d’abord, il est effectué une identification a priori du risque, ce qui implique
une définition claire et unique de la notion du risque opérationnel.
A cet égard, il est nécessaire que l’Audit interne ait une connaissance suffisante
des activités, des objectifs et de la stratégie de l’établissement de crédit, de
réfléchir au-delà du cadre réglementaire et intégrer la réalité d’un environnement
en mutation, et enfin d’enrichir la démarche de la cartographie des risques, en
impliquant dans ce processus, les responsables métiers et les opérationnels.

1
Revue Banque, février 2005.

113
Ensuite l’Audit s’assure que le dispositif de contrôle interne est efficace et
maîtrisé. Ainsi, la mise en place des programmes d’auto évaluation du dispositif
s’avère nécessaire et les moyens de contrôle à mettre en œuvre sont, d’une part,
effectués par le biais d’un carnet de bord suivi par les opérationnels qui leur
rappel les étapes à suivre en matière de gestion des risques opérationnels ; et
d’autre part, grâce à des indicateurs de contrôles clés de l’établissement, définis
en commun avec entre l’Audit interne et les responsables opérationnels.
Ces indicateurs sont de deux ordres : ils peuvent être « qualitatifs », en effectuant
un rapprochement entre les positions et les résultats économiques et comptable,
par exemple. Mais ils peuvent aussi être « quantitatifs », comme par exemple,
relever le nombre d’opérations non confirmées, le nombre d’opérations en
suspens ou encore le nombre d’opérations rejetées par le système comptable.
En somme, le suivi des indicateurs de contrôle va permettre aux responsables
opérationnels de détecter les erreurs, les anomalies et les dysfonctionnements qui
peuvent causer des pertes et le cas échéant, de prendre les mesures correctrices
nécessaires.
Enfin, le rôle majeur de l’Audit interne, est de valider in fine la pertinence et la
qualité du système de maîtrise des risques opérationnels et de proposer des
mesures d’améliorations.
Cette fonction est associée à des réunions régulières avec la Direction des risques
opérationnels, qui leur permettent d’examiner conjointement les évolutions du
dispositif de maîtrise des risques à mettre en œuvre.

En définitive, l’Audit interne, en appui de la cartographie des risques

opérationnels, établit ses missions d’audit, ce qui lui permet, notamment de
mesurer la qualité des contrôles et de participer maîtriser des risques
opérationnels.

114
Chapitre 2 : La cartographie des risques opérationnels, un
nouvel outil stratégique des banques, à quelles fins ?

A priori, l’identification des risques pourrait permettre de définir leur impact.

D’où la nécessité de les gérer pour les réduire : cependant cet état de fait ne
pourrait être, sans une actualisation des méthodes de gestion des risques
opérationnels, ce qui permettrait, outre mesure, de gagner en qualité
commerciale et en productivité.
Enfin, conformément au troisième pilier de Bâle II, la communication envers les
autres banques et les reportages auprès des autorités de tutelle assureraient une
transparence dans la gestion des risques opérationnels.
Ainsi, une saine gestion des risques peut ajouter de la valeur.

115
I – Saine gestion des risques opérationnels

La problématique de la cartographie des risques opérationnels n’est pas

nouvelle ; c’est un sujet qui a toujours été traité avant la réglementation de Bâle
II, par les banques.
Par exemple, la BRED, avait déjà entrepris une démarche de cartographie des
risques opérationnels et ce, depuis 1996. Elle avait réactualisé cette cartographie
en 2004, et aujourd’hui, elle retravaille sur le projet (auquel j’ai participé), mais
cette fois – ci dans un cadre réglementaire.

116
Cependant, ce qui est nouveau, et ce que tout le monde s’accorde à dire, c’est le
traitement qui en est fait, ainsi que la prise de conscience de l’utilité de la
cartographie des risques opérationnels ; on parle désormais de « saine » gestion
des risques opérationnels.
Avant la réforme Bâle II, les risques opérationnels étaient gérés de manière
intuitive, diffuse et hétérogène par les banques. La mise en place de saines
pratique de gestion des risques opérationnels vise en fait, à garantir l’existence
d’une pratique effective d’identification, de mesure, de contrôle et d’atténuation
des risques opérationnels.
Une « saine » gestion des risques opérationnels, au sens de Bâle II, signifie la
prise en compte et la gestion des façon homogène, des risques opérationnels : il
s’agit d’établir un langage commun, homogène entre les différents
établissements de crédit, en matière de risques opérationnels.
Ensuite « la saine » gestion des risques évolue dans un cadre normaliser qui est
celui imposé par le régulateur au sens de Bâle II ; cette mouvance du risque
opérationnel dans un cadre normalisé, doit se faire de façon récurrente, de sorte
de répondre à cette exigence de « saine » gestion des risques opérationnels.

Ainsi, cette démarche impose un cadre à tout le monde, d’une part, par les
autorités de tutelle en amont, et d’autre part, par les établissements eux – même :
ainsi pour la BRED, le fait pour chacun de ses services, d’être en adéquation à la
fois avec la réglementation Bâle II, et avec le dispositif cadre imposé par la
Banque Fédérale des Banques Populaires.

117
A - Vis à vis des Autorités de tutelle1

La réunion du Comité de Bâle II, a donné lieu à la notion de « saine » gestion des
risques opérationnels, notamment de la présentation d’une cartographie des
risques opérationnels ; l’application de cette réglementation doit être effective
dans les banques au 01er janvier 2007.
Cela dit, il faut préciser que la réglementation Bâle II, n’impose pas une
cartographie des risques opérationnels en tant que telle : en réalité, la
cartographie des risques opérationnels est un outil préconisé par le Comité de
Bâle II pour permettre d’effectuer une « saine » gestion des risques
opérationnels.

Ainsi, la question qui se pose est de savoir en quoi la cartographie des risques
opérationnels est outil stratégique des banques, notamment vis – à – vis des
autorités de tutelle.

La cartographie des risques opérationnels étant un outil de « saine » gestion des

risques, elle devrait permettre de répondre aux exigences réglementaires,
notamment, lors des contrôles effectués par les autorités bancaires.
Tout d’abord, les autorités de contrôle bancaire assure un rôle de superviseur
dans les « saine pratiques de gestion des risques opérationnels ».
Ces autorités « doivent exiger »2 que toutes les banques aient mis en place un
dispositif de « saine » gestion des risques opérationnels ; dispositif permettant

1
Vis-à-vis de la réglementation et des autorités de tutelle, la responsabilité de la gestion des
risques opérationnels incombe : au premier niveau au groupe ; ensuite, à la Direction Générale et
enfin, aux directions opérationnelles (schéma classique, notamment pour les groupes financiers
tels que le Groupe BANQUES POPULAIRES).
2
Comité de Bâle sur le contrôle bancaire, février 2003.

118
d’identifier d’évaluer, de suivre et de maîtriser, voire, d’atténuer les risques
opérationnels importants. Ce dispositif devant être conforme à la réglementation
Bâle II, doit d’autant plus être proportionnel avec la structure de la banque,
notamment en terme d’activités et de profil de risques opérationnels.

C’est dans ce contexte que la cartographie des risque opérationnels joue un rôle
envers les autorités de contrôle, en ce sens où elle permet de répondre à leurs
exigences (définies ci – dessus). En effet la démarche même de la cartographie
des risques opérationnels, répond de facto à ces exigences en ce sens où elle
identifie, évalue les risques et permet de les suivre et de les maîtriser.
En amont la cartographie des risques opérationnels permet d’un point de vue
préventif, de faire de la veille, et ce, à tous les niveaux de la banque et surtout,
vis - à – vis des autorités de tutelle.
Enfin, la cartographie des risques opérationnels permet de prendre conscience
des enjeux réglementaires, notamment parce – qu’elle envisage toutes les
conséquences réglementaire et juridique. De plus toutes les problématiques de
risques de non conformité sont tracées à travers la cartographie des risques
opérationnels : les opérationnels de la banque et toute la banque elle – même,
savent à quoi ils s’exposent.
En somme, la cartographie des risques opérationnels permet de donner une
vision globale des risques opérationnels, notamment, vis – à – vis des autorités
de tutelle1.

1
Plus précisément en ce qui concerne la Commission Bancaire, les établissements de crédit sont
amenés à constituer un dossier d’homologation permettant à la Commission Bancaire de
déterminer si l’établissement bancaire est en adéquation avec les exigences de Bâle II.
Il s’agit en fait de valider d’une part, les méthodes de gestion et de calcul en fonds propres des
risques opérationnels adoptés par la banque, et d’autre part, à évaluer les politiques, procédures
et pratiques des banques en matière de risques opérationnels.
Enfin en réponse au troisième pilier de Bâle II, la cartographie des risques permet de se
conformer au principe de transparence dans la communication des méthodes pour assurer une
saine gestion des risques opérationnels. La communication d’informations financières par les
banques, au sens du Comité de Bâle II, permet « de renforcer la discipline de marché, et par
conséquent, une saine gestion des risques opérationnels ».

119
B - Permet une adaptation des contrôles

Outre la réponse aux exigences réglementaires, la cartographie des risques

opérationnels concorde avec les dispositifs de contrôle.
En effet, la cartographie des risques opérationnels représente les risques
opérationnels à un instant « T ».
Cependant, les risques opérationnels évoluent, et la cartographie devant évoluer
en même temps que les risques qu’elle illustrent.
Ceci pour dire que la cartographie des risques opérationnels évoluant en même
temps que les risques opérationnels, il est nécessaire pour les établissements de
crédit de réviser et d’adapter leurs dispositifs de contrôle afin d’être
contemporains aux risques opérationnels.
En effet, les dispositifs de contrôle interne traitent des risques opérationnels qui
ont été identifiés, afin de les maîtriser et au mieux, de les réduire.
De plus, ce sont ces mêmes contrôles qui constatent que la cartographie des
risques opérationnels n’est plus à jour, et qui de ce fait, procèdent à sa révision.
Ceci conforte l’idée qu’il y a une synergie entre cartographie des risques
opérationnels et contrôles : il y a une logique de convergence en ce sens où la
démarche se fait de façon réciproque.

La cartographie des risques opérationnels permet donc une adaptation des

contrôles parce – qu’elle est le reflet des activités de la banque et des risques qui
y sont associés.
De même étant donné qu’elle fera l’objet d’une alimentation quotidienne et sera
de ce fait, adaptée aux nouveaux risques, les procédures de contrôles internes

120
évolueront autour de la cartographie. Cela assurera une adéquation entre les
risques et les moyens de contrôles à mettre en œuvre.

A noter que cette mise à jour quotidienne de la cartographie des risques

opérationnels impliquera non seulement le responsable de la gestion des risques
opérationnels et ses correspondants dans chaque direction, mais aussi les
principaux cadres de chaque service, puisque la cartographie s’appuie
principalement sur une auto évaluation par les experts de chaque secteur.
Elle suppose que le responsable de la gestion des risques opérationnels de la
banque organise, en collaboration avec ses correspondants dans les différentes
directions, des entretiens avec les responsables opérationnels pour mettre à jour
la cartographie des risques.
Cela suppose d’obtenir une vision simple mais précise des process, d’identifier
les risques, de les classer selon les référentiels (Bâle II) et d’identifier les parades
mises en place et les actions à prévoir.

121
C - Gestion des incidents et des pertes associées

Les saines pratiques de gestion s’entendent sur l’ensemble de la banque. La

couverture de ces domaines, au moins en ce qui concerne l’alimentation de la
base pertes, est à mettre en place en collaboration avec les correspondants
désignés des différentes directions de la banque pour la fin de l’année 2006, de
façon à alimenter l’historique des pertes au plus tard début 2007.

Le dispositif de la cartographie des risques opérationnels est associé à une

collecte des incidents et des pertes : l’idée est de tracer toutes les pertes
comptabilisées et de les enregistrer.
Cela permet d’avoir une base de données des pertes ; celle – ci est faite en
rapport avec la cartographie des risques opérationnels.
Le maintien de la base pertes est indispensable pour garantir l’historique exigé
pour le calcul des ratios de la méthode avancée. Cela suppose de concentrer
toutes les informations en provenances des différents services après avoir valider
leurs analyses.
En outre, la base pertes est avérée, contrairement à la cartographie des risques
opérationnels qui est faite à dire d’experts, c’est – à – dire sur la base des
expériences des professionnels.
En effet, la base pertes est composée de risques survenus qui sont renseignés
dans la base pertes ; cela permet de faire évoluer la cotation de la cartographie
des risques opérationnels.
L’intérêt de bâtir une base pertes, consiste à dire que, d’une cartographie des
risques à dire d’experts, on passe à une cartographie des risques opérationnels
« statistique » permettant de passer à la méthode avancée.

Tout d’abord ; il convient de donner la définition d’une perte.

122
 Une « perte » est une perte financière directe liée à la survenance d’un risque
opérationnel.
Au sein de cette catégorie, il existe les « pertes potentielles avant récupération »
(avant assurance) et les « pertes après récupération » : ces dernières représentant
la perte finale.
La différence réside dans les montants récupérés suite à la mise en œuvre de
plans d’action intermédiaires et/ou à la suite de recours auprès des assurances
(par exemple assignation des fraudeurs).
Sont également consignés tous les autres événements de risque opérationnel
n’ayant pas eu de conséquences financières, mais qui constituent ce qu’on
appelle des « Risques évités » ; ils sont néanmoins susceptibles d’avoir des
conséquences financières indirectes (comme le manque à gagner) ; et / ou des
conséquences qualitatives (telles que le risque d’insatisfaction client).

Les pertes potentielles avant récupération permettent notamment de « back

tester »1 les cotations « sinistralité » obtenues à dire d’experts.

Le recensement des pertes avérées et évitées relatives au risque opérationnel

permet de :

Constituer un historique de données internes (utilisable en méthode avancée) ;

Back-tester les cotations obtenues à dire d’expert ;
Elaborer un reportage interne et réglementaire de suivi et de pilotage du niveau
de risque subi ;
Etablir une fiche de recensement d’une perte avérée ou évitée.

La définition des pertes doit comprendre au minimum les éléments d’information

suivants :

1
Back tester : il s’agit de proposer un scénario, de le comparer avec la réalité et d’apporter des
réajustements si nécessaires.

123
Le type d’événement ;
Le rattachement au référentiel de risque ;
La description de l’événement ayant entraîné la perte ou le risque évité ;
La période ou la date d’occurrence ;
Des données financières ;
Les conséquences autres que financières ;
Le responsable du suivi ;
Le déclarant…

Le lancement de cette collecte de type déclaratif nécessite une connaissance

préalable des concepts utilisés au sein du dispositif de gestion des risques
opérationnels.
Les premiers intéressés sont donc les mêmes opérationnels à l’origine de la
construction de la cartographie. La détection des pertes et la création des fiches
de déclaration à destination du responsable des Risques Opérationnels de l’entité
sont effectués par l’opérationnel qui de part sa situation est le plus à même de
réaliser cette tâche.
La collecte des pertes se fait sans seuil plancher concernant aussi bien des
évènements de risque identifiés lors de la construction de la cartographie que de
nouveaux évènements de risques qui pourraient survenir.

La cartographie des événements de risque peut contenir des risques opérationnels

dont la matérialisation est contingente à l’occurrence d’un risque de crédit ou
d’un risque de marché.
Par exemple, « Perte de la garantie ». Ce risque opérationnel appelé « Risque
frontière » ne se matérialise par une perte financière que si la contrepartie fait
défaut au remboursement de ses encours.

On peut définir deux grands types de risques frontières :

124
Il peut s’agir d’une augmentation de la probabilité de défaut ou de la volatilité de
l’exposition au marché ; ou d’une augmentation des pertes après défaut ou de
l’exposition au marché.

Afin d’éviter une double allocation de fonds propres, le régulateur a considéré

que l’exigence de fonds propres nécessaire face à ces risques opérationnels serait
constituée au titre du risque de crédit ou du risque de marché.

Néanmoins, afin de piloter et réduire ces risques, ils doivent tout de même être
identifiés et référencés au sein des outils de gestion du risque opérationnel, et
notamment les pertes constatées au titre de ces risques frontières.

En somme l ‘objectif de la base pertes est d’identifier les différents incidents par
domaines de façon à améliorer le recensement des risques opérationnels et à
évaluer les taux de récupération et les sinistres finaux.
C’est une démarche pragmatique au long de l’année qui s’appuie essentiellement
sur les déclarations des directions opérationnelles.
Ces travaux doivent permettre une gestion proactive des risques opérationnels,
avec la mise en place notamment de reportages internes et de plans d’actions
préventifs et correctifs visant la réduction des facteurs de risque, des incidents et
des pertes.

125
II – La cartographie des risques opérationnels, un outil
essentiellement opérationnel

La réglementation Mac Donough est une opportunité pour les établissements qui
y sont soumis : elle a une optique d’optimisation des résultats en diminuant les
risques opérationnels et elle doit permettre d’améliorer la qualité du service
client, notamment en passant par un management des risques opérationnels axé
sur la cartographie des risques opérationnels.

Une démarche de ce type cartographie des risques opérationnels, outre le fait

qu’elle permette de se conformer aux exigences réglementaires de quantification
du risque pour le calcul des fonds propres, abouti à une amélioration des
conditions de production : notamment en rationalisant des processus, en obtenant
des gains en productivité, et enfin en reflétant une « image de marque » de la
banque. D’où la nécessité d’entreprendre ce projet de cartographie des risques
opérationnels, dans une démarche qualité.

126
 A – Outil d’aide à la décision

Le risque opérationnel est lié à l’organisation de l’établissement bancaire.

Un système de management par la qualité, qui inscrit l’organisation dans une
boucle d’amélioration continue, contribue à une meilleure maîtrise de ce risque.
De plus, une approche unifiée, dans un système intégré, dégage des synergies
entre toutes les démarches d’amélioration.
C’est dans ce contexte que la cartographie des risques opérationnels donne aux
responsables opérationnels, une vision globale des risques, par Département, par
services, par Directions : cette vision synthétique permet de faire des choix, de
manager les équipes et de prioriser les risques opérationnels.

Les questions auxquelles devront répondre les collaborateurs de la banque au

quotidien dans l’utilisation qu’ils feront de la cartographie des risques
opérationnels sont les suivantes :

  Identifier les process,

  Évaluer leurs risques,
  Mettre en place des clignotants et les suivre,
  S’assurer de la mise au point de parades.

La cartographie des risques opérationnels permettra de répondre à ces aspects

des risques opérationnels et donnera la possibilité de prendre des décisions en
terme de management, aux fins d’assurer une maîtrise des risques opérationnels.
Elle a également pour objectif, d’orienter les décisions des collaborateurs de la
banque, notamment en terme de plans d’actions car elle constitue une grille de
lecture qui met en avant les risques sur lesquels des mesures correctrices sont à
prendre.

127
Toujours dans ce même ordre d’idée, la cartographie des risques opérationnels va
se décliner pour les opérationnels de la banque, sous forme de tableaux de bord,
qui leur donneront des indicateurs à suivre : cela leur permettra de faire des choix
opérationnels et « rationnels » d’un service à l’autre.

En effet, les différents services des entités de la banque travaillent en

collaboration au quotidien, et il est donc important pour eux d’agir en parallèle
pour appréhender et maîtriser les risques opérationnels de façon optimum. Cela
pourrait même les conduire à modifier leur stratégie de management.
Ces actions pourront être effectuées avec la collaboration de la Direction des
Risques opérationnels ; ainsi les collaborateurs de la banque seront beaucoup
plus des acteurs dans la démarche de la cartographie des risques opérationnels, et
pourront contribuer au niveau de la Direction Générale de faire changer certaines
options de maîtrise des risques opérationnels.

128
B – Outil commercial

Il faut toujours garder à l’esprit que la gestion des risques opérationnels a pour
objectif d’améliorer la qualité des services vis-à-vis des clients avec une maîtrise
des coûts ; c’est l’objectif des saines pratiques de gestions exigées par la
réglementation.
La cartographie des risques opérationnels est un outil d’aide à la vente vis à vis
des clients.
En effet, c’est un argument commercial, car elle reflète l’image de la banque.
C’est en effet à cette occasion que l’établissement bancaire pourra mettre en
avant la qualité des performances de sa maîtrise des risques opérationnels.

La cartographie un outil commercial sur deux aspects : d’une part, d’un point de
vue « appel d’offre » car il sera possible de mettre en avant la maîtrise des
risques opérationnels ; d’autre part, elle permet de mieux travailler vis – a – vis
des clients. En d’autre terme, en matière de production, elle assurera une
satisfaction des clients.
En effet, la cartographie concours à l’entretien des certifications ISO 9001, ce
qui permet une maîtrise des risques dans une démarche qualité.
Ces objectifs sont ceux affichés par les démarches qualités et normes
d’excellences, développées dans les secteurs non bancaires. Contrairement au
risque de crédit et au risque de marché, le risque opérationnel n’est pas
spécifique à l’activité financière ; cependant, seules les banques doivent
constituer un capital pour couvrir ce risque.
Les référentiels qualité comme ISO 9001, apportent aux spécialistes des risques
opérationnels des méthodes éprouvées et fiables, constituant un point essentiel
dans la maîtrise des risques opérationnels.

Ainsi, certains outils de gestion des risques opérationnels tels que la cartographie
des risques opérationnels, permet de compléter la panoplie des outils offerts au
responsable des risques opérationnels (plans d’actions, base pertes ou encore, les
indicateurs).

129
Par exemple, la cartographie des risques opérationnels pourra servir de support
pour établir des fiches de suggestion, des revues périodiques illustrant la maîtrise
des risques opérationnels (à fournir aux nouveaux prospects de la banque), ou
encore, des objectifs de performance inscrits dans les contrats conclus avec les
clients, démontrant ainsi un suivi et une « saine » gestion des risques, vis – à –
vis du client.
La cartographie des risques opérationnels répond à un objectif de réduction du
risque opérationnel, au – delà de son suivi et de sa quantification.
En effet, le rapprochement des opérations menées pour répondre à la
réglementation Bâle II, avec les démarches d’amélioration de la qualité et de la
productivité, dégage une opportunité. Notamment en ce qui concerne
l’intégration d’un système de management, qui permet de satisfaire
simultanément les parties prenantes, c’est – à – dire, les clients (en terme de
qualité, notamment, la cartographie des risques opérationnels au travers le projet
Risques Opérationnels peut permettre de faire gagner des clients et par la suite,
de les fidéliser), les régulateurs (en terme de risque), et les actionnaires de
l’établissement bancaire (en terme de performance).

130
C – Outil de vigilance

Le système d’adossement des métiers de la banque à la réglementation participe

à la diffusion de nouveaux comportements et à la diffusion de nouveaux savoirs
pour l’amélioration des compétences des métiers de la banque, vis – à – vis d’un
risque qui change de nature (exemple, complexité des montages financiers, des
circuits financiers internationaux) et d’origine (évolutions de l’éthique des
affaires et comportements sociaux…).

La cartographie des risques opérationnels est l’élément pivot de la diffusion de

ces nouveaux comportements ; notamment vis à vis des agences (en terme de
management interne), car elle permet de sensibiliser les collaborateurs des
agences et des différents métiers de la banque, d’où une prise de conscience des
risques encourus et des parades à apporter.
La cartographie des risques opérationnels, outre la particularité d’être un support
de saine gestion des risques opérationnels, permet également d’assurer une veille
en matière de gestion des risques.
En effet, aujourd’hui dans les établissements bancaires, deux problématiques
s’opposent : d’abord, il y a celle qui incite les commerciaux des agences
bancaires vers un objectif de production. Dans ce cadre là, l’intérêt premier est
d’avoir une volumétrie de vente importante : l’objectif étant de « faire du
chiffre ». Dans cette situation, les collaborateurs oublient la problématique des
risques opérationnels et n’assurent plus une vigilance dans ce sens.
L’autre problématique consiste à dire qu’au – delà de ces objectifs de vente, il
faut rester vigilant sur les opérations traitées et réfléchir aux risques qui pourront
en découler.
Ainsi une cartographie des risques opérationnels normalisée permet aux
collaborateurs d’avoir une estimation des risques opérationnels importants et
donc, permet de doubler de vigilance sur ces risques.
La cartographie des risques opérationnels permet déjà d’effectuer une gestion
proactive des risques opérationnels : et dans cette optique, elle doit aider les

131
opérationnels à être plus vigilant sur les risques qu’ils encourent et d’en avoir
conscience au quotidien ?
La cartographie permet de sensibiliser les collaborateurs, qui d’autant plus,
seront amenés à l’alimenter au quotidien et donc à travailler avec en tant
qu’indicateur de risques opérationnels.

132
Conclusion

133
La maîtrise des risques opérationnels constitue une innovation non négligeable
pour la profession bancaire.
Les pertes et les faillites bancaires afférents aux risques opérationnels, ne sont
pas passés inaperçus et sont restés dans les esprits, notamment dans ceux des
régulateurs.
L’identification et la maîtrise des risques opérationnels, est devenue l’une des
préoccupation des établissements bancaires. Ces derniers, doivent intégrer ces
risques dans le calcul de leur fonds propres conformément au nouveau ratio de
solvabilité MC Donough imposé par Bâle II.

L’objectif de ce nouveau ratio pour le calcul des fonds propres des banques, est
d’assurer la solidité et la stabilité financière des établissements bancaires.
Toutefois, les divergences quant à la définition de ces risques opérationnels, les
difficultés rencontrées par les banques pour mettre en place un dispositif de
« saine gestion des risques opérationnels » ont conduit à une réflexion, dont
l’objectif de ce mémoire a été d’essayer de situer ces risques opérationnels et la
cartographie des risques qui en découle, vis – à – vis des établissements
bancaires.

Il ressort des réflexions de ce mémoire, que les risques opérationnels et la

cartographie des risques apportent tous deux, une réponse aux instabilités
financières survenues ou qui pourraient encore survenir dans le monde bancaire.

En effet, après avoir dressé une typologie du risque opérationnel, on retient une
dimension du risque opérationnel qui gravite essentiellement autour deux axes.
On a pu constater que les risques opérationnels sont dus soit, à des défaillances
internes, soit à des évènements externes non maîtrisables.

Le but pour assurer une « saine gestion des risques opérationnels », en vue
notamment d’élaborer la cartographie des risques opérationnels, et de qualifier
les risques en les appréhendant, soit par l’adoption des approches propres aux
banques soit par l’application des méthodes proposées par Bâle II.

134
L’idée de base est de provisionner la quantité des fonds propres nécessaires à la
couverture des risques : en d’autre terme allouer des fonds propres en face de
chaque risque. L’autre idée consiste à mettre en place un système de contrôle
interne efficace, s’appuyant sur la cartographie des risques opérationnels, qui
dans cette matière, a une vocation stratégique.

Comme il a été exposé précédemment, la cartographie des risques opérationnels

constitue un outil essentiellement stratégique pour les banques, en terme de
« saine pratiques de gestion des risques opérationnels ».

Cependant il convient ici de se demander quel sera réellement l’impact du

nouveau ratio de solvabilité, intégrant les risques opérationnels dans le calcul des
fonds propres.
A la lecture de diverses opinions de professionnels de la banque, on constate que
certains pensent que la réforme Bâle II est source « d’instabilité financière ».
Pourquoi une telle opinion ? En effet,selon certains professionnels la réforme
« néglige l’endogénéité des risques bancaires, ce qui a deux effets contre –
productif : l’un sur la liquidité des marchés et l’autre, sur la procyclicité des
modes de gestion bancaire ».

Autrement dit, en traitant les risques comme un élément fixe et exogène aux
activités propres à la banque, ceci a pour conséquence d’abolir les frontières
entre les différents modèles de gestion des risques effectués par les
établissements bancaires.

Cela a pour conséquence de les amener à suivre les mêmes stratégies politiques
de gestion des risques conduisant à un « mouvement d’ensemble où les décisions
individuelles ne se compensent plus » 1.

1
Philip Lowe, “ Credit Risk measurement and procycliality”, Bis Working Paper n°116,
September 2002.

135
Dans cet article, l’auteur fait référence à deux évènements passés pour le risque
de marché. Les faits datent de 1987 et de 1998, où une crise de change du dollar
– yen eut lieu en 1998 et l’assèchement des marchés de futures en automne 1987.
L’auteur souligne que dans les deux cas, les « opérateurs de marché utilisaient
les mêmes modèles, qui ont produit un effet « boule – de – neige », à une sur
réactiondes marchés, et à l’aggravation de la crise ».
Pour l’auteur, l’uniformisation des comportements induite par la réforme, est
contraire à l’aspiration de « saine gestion des risques opérationnels » et de la
solidité et de la stabilité financière : il dit « on perçoit la difficile articulation
entre les enjeux de la nouvelle réglementation bancaire et ceux d’une incitation à
la stabilité macro – économique ».
D’autres auteurs pensent que Bâle II met en place une régulation privé qui
consiste en un auto – contrôle par les grandes banques internationales : ici, les
banques se doteraient de « leurs propres normes de fonds propres basées sur leur
évaluation autonome du risque ».
En outre, la réforme laisserait une place majeure aux agences de notations qui
« constitueraient des benchmarks dont il serait délicat de s’éloigner
significativement ». 1
2
Pour ces mêmes auteurs, les agences de notations représentent « un oligopole
qui constitue un frein de la reprise économique ».

1
Analyse et Document Economique, février 2004.
2
Les agences de notation financière (par exemple Moody’s ou Standard and Poor’s) sont
spécialisées dans ce que l’on nomme en anglais le « rating ». Elles se chargent d’évaluer le
risque de solvabilité des emprunteurs. Les emprunteurs, dans ce cas précis, peuvent être des
entreprises privées ou publiques, des Etats, des collectivités locales comme les départements ou
les régions, des communes. Le rôle des agences de rating est de mesurer précisément le risque de
non remboursement des dettes que présente l’emprunteur, on parle aussi de la « qualité de la
signature ».
Chaque agence de notation financière possède son propre système de notation.
Schématiquement, les notes s’établissent de A à D avec des échelons intermédiaires. Ainsi, la
meilleure note est AAA, c’est notamment celle de l’Etat français. Ensuite on trouve AA, A chez
Standard and Poor’s, ou Aa, A, etc. chez Moody’s.

136
En l’état actuel, la réglementation Bâle II devant être opérationnelle au sein des
er
établissements bancaires d’ici le 1 janvier 2007, il apparaît donc difficile
d’appréhender cette réforme de façon négative.
Bien qu’étant une « conséquence de la réglementation » pour certains auteurs, il
faut admettre que des régulations sont indispensables surtout dans le domaine
financier, et plus précisément bancaire ; ceci toujours pour prévenir des risques
de faillites, de pertes voire même, pour lutter contre les concurrences déloyales
qui doivent être encadrées.
D’autant plus on a pu constater que les risques opérationnels sont omniprésents
dans toutes les opérations bancaires. Son appréciation n’est pas aisée à faire,
notamment à cause de son caractère diffus, de la difficulté qu’il peut y avoir pour
collecter ou même comprendre les informations données par les collaborateurs
‘notamment lorsqu’il s’agit de qualifier les risques opérationnels recensés pour
les rattacher aux évènements de risques Bâle II).

Dans ce cadre, il est indispensable qu’existent des institutions en charge de la

stabilité financière du système bancaire, que ce soit à l’échelle nationale,
européenne, et mondiale.
La pertinence du mécanisme de Bâle II fait peut – être peser des doutes sur des
contraintes superfétatoires au regard de l’objectif de pérennité du système
financier.
Ces doutesdevraient être levés au fil des années et notamment lors du passage à
la méthode avancée pour le calcul des fonds propres des banques.

137
138
Bibliographie

139
Revues

Banque magazine – N° 649 – Juillet / Août 2003.

Banque Stratégie – Numéro 189 – janvier 2002.

AGEFI – Mardi 29 avril 2003

Revue d’Economie Financière – Numéro 73

Analyse et Document Economique , février 2004.

Revue Banque, février 2005.

Autres documentations

Documentations internes BRED

Comité de Bâle sur le contrôle bancaire, février 2003.

Vue d’ensemble du Nouvel Accord de Bâle sur Les Fonds propres -BRI - Avril 2003.

Sound Practices for the Management Supervision of Operational Risk - BRI – février
2003

Sites Internet

www.bis.org : Bank for International Settlements ( BRI )

www.fsa.gov.uk : Financial Services Authority.

www.canalbred.fr: Site de la Bred

www.banque-france.fr

140
www.commission-bancaire.org

141
Table des matières

143
Introduction 8

1ère partie : Les risques opérationnels et les banques aujourd’hui 19

Chapitre 1 : La place des risques opérationnels vis à vis de la réglementation 21

I – Une évolution récente de la réglementation 21

A – La maîtrise des risques opérationnels, une nouvelle exigence pour le régulateur 22

B – Le vrai apport de Bâle II 26

II - Evolution récente qui se concrétise au niveau des fonds propres 31

A – Intégration des risques opérationnels dans les fonds propres 32

B – La quantification du risques opérationnel pour le calcul des fonds propres 33

1) Les différentes méthodes proposées par Bâle II 34

a) La méthode Indicateur de Base (BIA) 34
b) La méthode Standard (TSA) 35
c) La méthode Avancée (AMA) 38
2) Les différentes approches adoptées par les banques pour évaluer les risques
opérationnels 41
a) L’approche Top – Down 41
b) L’approche Bottom – Up 42

Chapitre 2 : L’évolution organisationnelle des banques selon les risques Opérationnels

44

I – Une organisation pyramidale 44

A – Le rôle de la Direction Générale dans la maîtrise des risques opérationnels 45

B – La Direction des risques opérationnels 46

1) En matière de risques opérationnels 47

a) Prévention, politique de gestion et surveillance des risques opérationnels 47
b) Base Pertes et Base Incidents 47
c) Cartographie des risques 48
d) Plan de continuité d’activités 48
e) Diffusion de normes et de règles en matière de contrôle des risques opérationnels 48

2) En matière de coordination des contrôles permanents (risques opérationnels et

conformité) 49
a) Animation et coordination du dispositif de contrôle permanent 49
b) Centralisation et diffusion des travaux réalisés par les contrôleurs permanents 49
c) Reportage et rédaction des rapports réglementaires 50

3) Plans d’actions 50

144
II – La difficile prise en compte du risque opérationnel à tous les niveaux de la banque
52

A – Les lignes métiers et les opérationnels 53

B – Les métiers transversaux face aux risques opérationnels 55

Chapitre 3 : L’ontologie des risques opérationnels 57

I – Les composantes du risque opérationnel 57

A - Des risques traditionnels 58

Risque de défaillance opérationnelle 58
Risque juridique 59
Risque fiscal 60
Risques humains et fraudes 61

B – Deux risques à part entière : le risque de non – conforté et le risque de blanchiment

de capitaux 62
Définition du risque de non – conformité et du risque de blanchiment de capitaux 62
a)Le risque de non – conformité 63
b)Le risque de blanchiment de capitaux 65
Risque opérationnel, risque de non – conformité et risque de blanchiment : entre
convergence et divergence ? 69

II – L’absence de maîtrise du risque opérationnel : cause de nombreuses sanctions 72

A – L’exemple de l’affaire du Sentier II 73

B – D’autres exemples significatifs 75
L’exemple de la Barings 75
L’exemple Sumimoto 76

2ème partie : La cartographie des risques opérationnels permet de renforcer le contrôle

interne des banques 80

Chapitre 1 : Comment la cartographie des risques opérationnels permet de se doter d’un

cadre commun de maîtrise des risques 85

I – La démarche de la cartographie des risques opérationnels 85

A – Recenser les activités et les risques associés 86

B – Identifier et évaluer les risques opérationnels 96
C – Envisager les actions 101

II – « Articulation et application symbiotique » de la cartographie des risques

opérationnels par le Contrôle Permanent et par le Contrôle Périodique 104

145
 A – Gestion des risques opérationnels et de la cartographie des risques par le
Contrôle Permanent 106
B – Le suivi et la gestion du risque opérationnel et de la cartographie des risques par le
Contrôle Périodique 109

Chapitre 2 : La cartographie des risques opérationnels, un nouvel outil stratégique des

banques, à quelles fins ? 112

I – Saine gestion des risques opérationnels 113

A - Vis à vis des Autorités de tutelle 115

B - Permet une adaptation des contrôles 117
C – Gestion des incidents et des pertes associées 119

II – La cartographie des risques opérationnels, un outil opérationnel 123

A – Outil d’aide à la décision 123

B – Outil commercial 125
C – Outil de vigilance 128

Conclusion 133

Bibliographie 139

Résumé 145

146
 Résumé

Le risque opérationnel n’est pas nouveau pour les banques. L’idée nouvelle de la
réforme Bâle II est que la gestion des risques opérationnels devient une
discipline à part entière avec ses propres procédures de contrôle, tout comme les
risques de crédit et de marché.
De plus, la nouvelle exigence en fonds propres du ratio MC Donough permet de
répondre à une autre préconisation de Bâle II, qui est celle de la solvabilité et de
la stabilité des banques pour couvrir leurs risques.

Summary

Operational risk is not a novel risk for banks. In fact, the newness of Basel II
built on the idea that operational risk become an independent line of business
with its own procedure as credit risk and market risk.
Moreover, the new MC Donough’s ratio will answer to Basel II about the
solvability and stability of banks in front of their risks.

147
148