Documente Academic
Documente Profesional
Documente Cultură
Le financement de l’Agence
Régionale d’Exécution des
Projets
Réalisé par : Manal HADIR
Basma BENDAHHOU
Année Universitaire
2018-2019
1
Introduction générale :
La gestion des risques dans le secteur financier est devenue un facteur de succès
stratégiquement important en raison de la globalisation de l’économie mondiale et des
importantes innovations financières et bancaires, ainsi l’attention du management s’est
déplacé des risques de marché aux risques opérationnels en passant par les risques de crédit.
L’une des raisons de ce déplacement est attribuable aux nombreux cas de pertes notoires de
banques de renom imputables avant tout aux risques opérationnels.
En effet, les cas de pertes d’Enron, 2,4 milliards de dollars, de Barings Bank, 1,3 Milliards de
dollars, d’Allied Irish Bank, 690 millions de dollars, …et récemment celui de la Société
Générale, 5 milliards d’euros, ont dévoilé au grand public les conséquences dramatiques des
risques liés à des dysfonctionnements opérationnels et ont confirmé le besoin impératif pour
les banques de se munir des moyens de prévention les plus efficaces.
Toutefois, le risque opérationnel n’est pas un risque totalement nouveau pour les banques et
les autorités de surveillance, mais il a néanmoins pris plus d’importance ces dernières années,
principalement en raison des modifications du cadre d’exercice et de la conduite des activités
bancaires. Cet essor des risques opérationnels dans un contexte de globalisation et
d’internationalisation des activités est par ailleurs le résultat de la sophistication de ces
activités, tant dans la conception de nouveaux produits auxquels sont associés de nouveaux
risques, que dans la mise en place de systèmes d’information de plus en plus complexes.
Suite à cette importante évolution du risque opérationnel et des pertes subies par les banques,
le comité de Bâle sur le contrôle bancaire dans son Accord de « Bâle II » a jugé nécessaire d’en
assurer une couverture non seulement par le développement de meilleures pratiques de
gestion au sein des banques, mais également par la mise en place d’une exigence minimale de
fonds propres pouvant être calculée selon trois approches différentes, à savoir l’approche de
l’indicateur de base, l’approche standard et l’approche des mesures avancées.
2
Quelles sont les différentes phases d’évolution de la réglementation prudentielle internationale
en matière de gestion des risques ? Quels sont les principaux risques liés à l’activité bancaire ?
Et Comment mettre en place un dispositif efficace de gestion des risques opérationnels ?..
Autant de questions auxquelles nous allons tout au long de ce travail essayer d’apporter des
éléments de réponse.
3
Chapitre 1 : la gestion du risque opérationnel
L’importance croissante qu’a prise le risque opérationnel ces dernières années a rendu
nécessaire la mise en place d’un traitement prudentiel adapté. Cependant, les caractéristiques
spécifiques de ce risque le rendent difficile à appréhender, ce qui complique davantage son
identification et sa mesure.
En effet, le risque opérationnel est un risque dont l’importance et la perception se sont accrues au
cours des dernières années, sous l’effet conjoint des principaux facteurs suivants :
16
Le commerce électronique ou vente en ligne, désigne l'échange de biens et de services entre deux entités réseaux
informatiques, notamment Internet.
5
Les événements extérieurs : Les risques exceptionnels (de faible occurrence mais de forte
intensité), comme les catastrophes naturelles, les actes terroristes ou de blanchiment
d’argent, font aujourd’hui l’objet d’une attention plus importante.
La multiplicité des scandales financiers : Barings en 1995, 1,2 milliard de dollars ; Bank of America
FleetBoston Financial Corp en 2004, 675 millions de dollars ; Société Générale en 2008,
4,9 milliards d’euro.
En fait pour faire face à ces différentes mutations, les établissements bancaires doivent relever des
défis exceptionnels afin de se doter d'avantages concurrentiels et de systèmes performants de
prévention et de gestion des risques, leur permettant à la fois de maitriser leurs métiers et
d’améliorer leurs rentabilités
6
Section 1 : Définition et enjeux
I. Introduction :
Pour être appréhendé et géré, un risque doit être connu et identifié. La première étape dans la mise en
œuvre d’une stratégie de gestion des risques opérationnels est donc de définir avec assez de
précision quels sont les risques que l’on souhaite suivre.
La notion de risques opérationnels est extrêmement large : elle exprime tous les risques
pouvant engendrer un dommage, une perte, un coût, créés ou subis lors de la réalisation de
l’activité courante de l’entreprise : infrastructures, cycles de production, de distribution,
processus logistique, gestion documentaire, etc. En résumé, les risques opérationnels
matérialiseront tous les impacts directs ou indirects engendrés par l’entreprise dans son activité
quotidienne.
Dans le cadre des travaux de réflexion ayant conduit à l’élaboration du texte de Bâle 2, le risque
opérationnel fut d’abord défini comme une catégorie par défaut regroupant tous les risques ne
pouvant se rattacher aux deux catégories préexistantes du risque de crédit et de marché. Le comité
de Bâle a instauré une définition plus ciblée de ce risque :
7
« Le risque opérationnel se définit comme le risque de pertes résultant de carences
ou de défauts attribuables à des procédures, personnels et système internes ou à des
événements extérieurs. La définition inclut le risque juridique, mais exclut les risques
stratégiques et de réputation. »17
17
Par 644.convergence internationale de la mesure et des normes de fonds propres (juin 2004), dit « nouvel accord de Bâle »
8
Cette définition, introduite par le Comité de Bâle dans le cadre de l’élaboration du projet Bâle II suite à
de nombreux échanges avec la profession bancaire, est désormais communément admise. Elle
permet en premier lieu de donner une définition positive du risque opérationnel, en lieu et place de
la définition communément utilisée du « ni risque de marché, ni risque de crédit ». Simultanément,
cette définition se montre suffisamment large pour englober certains risques importants (comme le
risque juridique18 par exemple), tout en évitant les écueils d’une énumération ou d’une liste qui ne
reprendrait que différentes sous-catégories prédéfinies du risque opérationnel (Par exemple :
risque opérationnel = risque informatique + risque environnemental + risque juridique + ...) et
qui risquerait, par construction, d’être trop limitative. Elle recense quatre causes, à la fois internes
et externes, qui restent suffisamment générales pour permettre son application et sa déclinaison
dans chaque établissement, selon les spécificités, l’organisation et la terminologie internes.
Cette définition se montre équilibrée dans son champ d’application car tout en restant large dans
son objet, elle permet une identification précise des éléments couverts. Sa construction présente la
particularité de partir des conséquences, des effets du risque opérationnel (les conséquences
financières), pour remonter aux causes. Elle s’articule ainsi autour de la notion de perte, qui constitue
le point de départ de son traitement prudentiel.
Cette démarche présente un intérêt évident, compte tenu des difficultés et des spécificités du risque
opérationnel mentionnées ci-dessus. Les pertes opérationnelles représentent de fait la seule donnée
disponible, faute de disposer a priori d’une mesure de l’exposition.
9
18
Le risque juridique inclut, entre autres, l’exposition à des amendes, pénalités et dommages pour faute résultant de l’exercice de
surveillance prudentielle ainsi que de transactions privées.
10
Financières. En outre, certaines pertes financières s’avèrent particulièrement difficiles à
recenser et mesurer avec précision.
Ainsi, l’Accord de Bâle II prévoit explicitement que les risques stratégiques et de réputation sont exclus
du champ du risque opérationnel. Pourtant ces risques trouvent souvent leur origine dans des
causes similaires à celles évoquées pour le risque opérationnel (une inadaptation ou une défaillance
imputable à des procédures, personnels et systèmes internes, ou à des événements extérieurs).
Ainsi par exemple, dans un contexte d’accroissement des paiements électroniques, le piratage du
système informatique d’une banque entraînerait, outre d’éventuelles pertes opérationnelles
liées à la fraude, une altération de son image de marque une fois l’information rendue publique. Le
risque de réputation et le risque stratégique sont ainsi par nature des risques très proches du risque
opérationnel. Cependant, ces risques sont souvent difficiles à identifier et ne prennent pas
nécessairement la forme de pertes financières.
Dans le même ordre d’idée, les premiers travaux du Comité de Bâle sur la prise en compte du risque
opérationnel dans Bâle II intégraient, à la fois, les pertes directes et indirectes, dans un souci de
couverture exhaustive de ce risque. L’idée initiale du Comité était ainsi de doter les établissements
11
de fonds propres suffisants pour couvrir les pertes directes, mais aussi les pertes indirectes
certaines, comme par exemple les coûts nécessaires pour résoudre un incident opérationnel, les
pertes latentes... Toutefois, il s’est avéré impossible de prendre en
12
compte systématiquement les pertes indirectes, compte tenu de la difficulté à les identifier, ce qui
risquait d’aboutir à de nombreuses erreurs (double comptage ou omission) dans le calcul des
exigences de fonds propres. Ces pertes indirectes sont, en effet, bien souvent difficiles à rattacher à
un évènement précis et à une source donnée. Au final, la définition du risque opérationnel fait
donc simplement référence aux pertes, laissant les établissements libres d’intégrer ou non les
pertes indirectes.
Néanmoins, la nécessaire collecte des pertes opérationnelles que suppose la mise en œuvre de cette
définition n’est pas sans soulever des difficultés. En effet, ces pertes doivent en premier lieu être
identifiées comme telles, grâce à un système d’allocation qui permette de les associer à leur source, à
leur cause.
Conclusion :
13
Section 2 : Classification Bâloise des risques
opérationnels
Introduction :
Sont ainsi recensés comme types de perte : la fraude interne, la fraude externe, les pratiques en
matière d’emploi et de sécurité du travail, les clients, produits et pratiques commerciales, les
dommages occasionnés aux actifs physiques, les interruptions et dysfonctionnements des systèmes et
l’exécution, livraison et gestion des processus. Ces événements ne se rattachent pas à une ligne métier
particulière et sont susceptibles d’être observés dans toutes les activités de la banque.
14
Fraude externe : « pertes dues à des actions visant à frauder, à détourner des biens ou à
contourner la législation, de la part d’une partie extérieure à la banque ». Par exemple,
15
Hold-up, Faux en écriture, chèque de cavalerie et dommages dus au piratage
informatique.
Pratiques en matière d’emploi et sécurité sur le lieu de travail : « Actes ne respectant pas les
codes du travail, sanitaires ou de sécurité, ou qui entraînent l’indemnisation de poursuites
judiciaires pour les accidents de travail ou la discrimination. » Par exemple, indemnisation
des employés, violation des règles de santé et de la sécurité des employés, non-respect
des libertés syndicales, plaintes pour discrimination et responsabilité civile, etc.
Pratiques concernant les clients, les produits et l’activité commerciale : « Défaillance non
intentionnelle ou due à la négligence vis-à-vis des engagements professionnels envers des
clients (incluant les obligations fiduciaire et d’adéquation des produits et services aux
besoins du client), ou provenant de la nature ou de la conception de produit. » Par
exemple, violation de l’obligation fiduciaire, utilisation frauduleuse d’informations
confidentielles sur la clientèle, opérations boursières malhonnêtes pour le compte de la
banque, blanchiment d’argent et vente de produits non autorisés.
16
Exécution, livraison et gestion des processus : défaillance dans les processus de transaction
ou de gestion et des relations avec les contreparties et les fournisseurs. Par exemple, erreur
d’enregistrement des données, défaillances dans la gestion des sûretés, lacunes dans la
documentation juridique, erreur d’accès aux comptes clients, mauvaises performances des
contreparties non clientes, litiges avec les fournisseurs, etc.
Les pertes importantes qu’ont subies plusieurs banques et établissements financiers, illustrent par
ailleurs, de manière assez pragmatique, les conséquences d’un dysfonctionnement du processus
de mesure et de gestion des risques opérationnels. Certaines de ces pertes, listées par la Banque des
règlements internationaux, sont :
17
Merrill lynch a perdu 250 millions de
Pratiques en matière d’emploi et dollars suite à une décision de justice dans
sécurité sur le lieu de travail une affaire de discrimination à l’embauche.
18
Household international a perdu 484
Pratiques concernant les clients, les produits millions de dollars à cause de prêts
et l’activité commerciale frauduleux, Providian financial
corporation a perdu 405 millions de dollars
en raison de ventes et de facturations
frauduleuses.
Conclusion :
19
Section 3 : Risques Bancaires et spécificité du risque
opérationnel :
Introduction :
Le risque peut se définir comme un danger éventuel plus ou moins prévisible. La caractéristique propre
du risque est donc l’incertitude temporelle d’un évènement ayant une certaine probabilité de
survenir et de mettre en difficulté la banque.
I. Risques bancaires :
Les activités bancaires génèrent de nombreux risques.
Les régulateurs exigent que les banques détiennent des fonds propres suffisants pour couvrir leurs
risques. En 1987, des standards internationaux ont été développés pour déterminer le niveau
adéquat de ces fonds propres. Les règles de Bâle, appliquent une allocation pour trois types de
risques : risque de crédit, risque de marché et risque opérationnel.
Risque de crédit :
Le risque de crédit correspond au risque de contreparties fassent défaut lors de transactions de prêts et
dérivés. Il s’agit du risque traditionnellement le plus important et pour lequel le capital
réglementaire est le plus conséquent
Risque de marché :
Risque opérationnel :
Le risque opérationnel est le risque de pertes dues à des défaillances de systèmes internes ou
d’événements externes.
20
L’horizon temporel pour considérer les pertes dues aux risques de crédit et opérationnel est d’un
an. Il est ramené à dix jours en ce qui concerne les pertes dues au risque de marché.
21
L’objectif des régulateurs est de faire en sorte que les fonds propres bancaires soient
suffisamment élevés pour que le risque de faillite bancaire soit très faible.
A- Risque de crédit :
Le risque de crédit traduit la défaillance possible d’un emprunteur, d’un émetteur d’obligations ou
d’une contrepartie dans une transaction financière. Le régulateur a depuis longtemps demandé
aux banques de détenir du capital face à ce risque. Dans Bâle II, les banques sont libres d’utiliser leur
propre modèle d’évaluation des probabilités de défaut, préalablement validé par le régulateur,
afin de déterminer le montant de fonds propres à détenir. Cela a conduit ces institutions à
dépenser des ressources importantes afin de choisir le modèle le plus adéquat.
B- Risque de marché :
On définit le risque de marché comme étant l'exposition de l'entreprise à une évolution
défavorable des taux ou des prix. Il concerne les taux d'intérêt, les taux de change, les cours des matières
premières ou des actions. Le risque de marché est présent à différents niveaux : une position (un
endettement, la perception dans le futur d'un flux de devise), une activité (achat facturé dans une
devise autre que celle de la facturation des ventes), un portefeuille (des titres de placement et de
participations).
Généralement, les risques de marché font référence aux risques résultant d’une volatilité des
rendements, des taux d’intérêt des cours de change et de la valeur des titres ou des matières
premières.
Dans un amendement au premier accord de Bâle 1988 instaurant le ratio Cooke, le comité de Bâle
précise que les banques doivent fournir un indicateur du risque de marché traduisant la
22
perte potentielle maximale pour un certain niveau de confiance à une date donnée. Cet
indicateur, utilisé par les banques les plus avancées en matière de gestion des risques, doit alors
permettre de déterminer le montant des fonds propres nécessaires pour faire face à ces pertes
imprévues.
De façon assez globale, les risques de marché sont ceux liés aux fluctuations des taux d’intérêt, des taux
de change et des cours de bourse :
Il est défini comme l'éventualité pour un établissement de crédit de voir sa rentabilité affectée par
l'évolution des taux d'intérêts. Il conduit à la vulnérabilité de la situation financière d'une banque.
Dans le cas de l'appréhension de ce risque, il s'agit, généralement à travers des représentations
graphiques, de mettre en exergue un risque de financement ou d'investissement afin de réaliser
des prévisions annuelles.
Risque de change :
Il s’agit du risque financier lié à une évolution défavorable de devises, entraînant des pertes de change.
C'est le risque lié à la possession par la banque d'actifs ou de contrats en monnaie étrangère et résulte
des variations des cours des devises.
Spéculation sur titres financiers : la gestion d’un portefeuille-titres par les établissements financiers
pour leur propre compte, les expose à un risque qui dépend de leur stratégie d’investissement,
mais aussi du degré de turbulence ou du calme régnant sur les marchés financiers. Il s’agit là d’un
risque qui se traduit par la fluctuation du cours des valeurs détenues, indépendamment du risque de
contrepartie qui se concrétisera également dans ces cours.
C- Risque opérationnel :
23
Le risque opérationnel, cette notion recouvre toutes les erreurs de traitement, qui peuvent
survenir au cours de la vie d’un dossier, telles que : déblocage des fonds, avant que toute la
24
documentation requise n’ait été réunie, saisie erronée des conditions de crédit dans les
systèmes de gestion, mauvaise identification des concours compromis…
Il existe plusieurs façons de définir le risque opérationnel. La première consiste à le considérer comme
un risque résiduel qui n’est ni un risque de crédit, ni un risque de marché. Pour en inférer une
estimation, on peut éliminer du compte de résultat de la banque (a) l’impact des pertes de crédit et
(b) les pertes et profits générés par les positions de marché. La variation du résultat ainsi retraité
serait alors attribuée au risque opérationnel.
Malheureusement, cette définition reste trop générale, car elle inclut les risques associés à
l’entrée sur de nouveaux marchés, au développement de nouveaux produits, aux facteurs
économiques, etc. Une autre définition possible consiste à considérer que le risque opérationnel
provient des risques d’erreur dans les transactions et les paiements, par exemple. Cependant, cette
définition est trop réductrice, car elle n’inclut pas des risques majeurs comme le « risque de trading ».
Le risque opérationnel pour les établissements financiers (banque et assurance) est le risque de
pertes directes ou indirectes dues à une inadéquation ou à une défaillance des procédures
de l'établissement (analyse ou contrôle absent ou incomplet, procédure non sécurisée), de son
personnel (erreur , malveillance et fraude), des systèmes internes (panne de l'informatique,...) ou à
des risques externes (inondation, incendie,...). Dans le cadre du dispositif Bâle II, la définition du
risque opérationnel, les procédures à mettre en place pour le limiter et les méthodes de
quantification ont été normalisées
Le « Wild West Semantico » donne une définition plus vaste du risque opérationnel : « tout risque
autre que les risques de crédit et de marché ». Le risque opérationnel présente au moins deux
caractères distincts du risque de crédit et du risque de marché. Tout d’abord, l’exposition au risque
25
opérationnel n’est pas la contrepartie d’un gain potentiel. Ce qui conduit au second point : le R.O
doit être obligatoirement contrôlé et éliminé autant que possible.
26
Pour certaines banques, le risque opérationnel englobe tous les risques ne pouvant pas être classés
dans les catégories risque de crédit, risque de marché ou risque de liquidité (Comité de Bâle sur le
Contrôle Bancaire, 1998).
Le risque opérationnel présente de nombreuses particularités par rapport aux autres risques
bancaires. En effet, il est réputé moins fréquent que les autres risques, même si la complexité et la
grande taille des institutions financières, ainsi que la sophistication des produits financiers augmentent
la probabilité d’occurrence d’un tel risque. Cependant, il est considéré comme très grave et ses
conséquences peuvent être désastreux. Contrairement aux autres types de risques, l’exposition au
risque opérationnel ne peut être ni plafonnée, ni échangée (Thirlwell, 2010b). De surcroît, son
impact financier ne peut être limité ni couvert par des contrats de couverture, étant donné son
caractère imprévisible. En outre, le risque opérationnel concerne toutes les activités ainsi que toutes
les personnes employées par la banque sans distinction (Blunden et Thirlwell, 2010). À cet égard, ce
risque est encore plus difficile à gérer et à évaluer.
Conclusion :
27
Section 4 – La démarche de gestion du risque
opérationnel :
a- Le conseil d’administration :
b- La direction :
La direction générale devrait avoir pour mission de mettre en œuvre le dispositif de gestion du risque
opérationnel approuvé par le conseil d’administration. Ce dispositif devrait être appliqué de façon
28
cohérente dans l’ensemble de l’organisation bancaire, et les membres du personnel, à tous les niveaux,
devraient bien comprendre leurs responsabilités dans la gestion du risque opérationnel. La
direction générale devrait aussi être chargée d’élaborer des politiques, processus et procédures
de gestion du risque opérationnel pour tous les produits, activités, processus et systèmes
importants.
29
B- Environnement de gestion du risque :
L'identification du risque et son appréciation sont les caractéristiques fondamentales d'un système de gestion
du risque opérationnel efficace. Une bonne appréciation du risque permet à la banque de mieux comprendre
son profil de risque et d’allouer des ressources et des stratégies de gestion du risque plus efficacement.
Parmi les outils qui peuvent être utilisés pour identifier et apprécier le risque opérationnel il y a :
Un outil d’autoévaluation : L’objectif est de réaliser un examen attentif de tous les aspects
relatifs au risque opérationnel. Ce processus d’autoévaluation doit conduire à l’attribution
de ratings ou scores appréciant la qualité, mais aussi et surtout, les insuffisances des
différentes dimensions de la gestion du risque opérationnel à l’œuvre de la banque.
La cartographie des processus d’activité : les cartographies des processus d’activité identifient
les étapes clefs des processus, des activités et des fonctions organisationnelles. Ils
identifient aussi les points clefs de risque sur l’ensemble du processus. Les cartographies
de processus peuvent révéler des risques individuels, des interdépendances de risques et des
zones de faiblesse dans les domaines du contrôle ou de la gestion du risque. Ils peuvent aussi
aider à donner des priorités entre les actions à entreprendre.
Un bloc « indicateurs de risque clés » : le bloc « indicateurs de risque clés » joue un rôle très
important la fois au niveau de l’interprétation et de la prévention du risque opérationnel.
Ces indicateurs de risque clés proviennent de diverses sources (ressources humaines, systèmes
de FrontOffice, etc.) au sein de l’organisation financière et sont étalonnés sur une période
de temps déterminé en fonction de mécanismes de déclenchement pré spécifiés
(escalation triggers)
Indicateurs de risque : Etablis sur la base de statistiques et/ou de diverses mesures, souvent à
caractère financier, les indicateurs de risque (nombre d’opérations non
30
exécutées, mobilité des effectifs, fréquence et/ou gravité des erreurs et omissions,…)
donnent une idée sur l’exposition de l’établissement aux risques opérationnel.
Les banques devraient mettre en œuvre un processus de suivi régulier des profils de risque
opérationnel et des expositions importantes à des pertes. Les informations utiles à une gestion
dynamique du risque opérationnel devraient être régulièrement communiquées à la direction
générale et au conseil d’administration.
Outre le suivi des cas de pertes opérationnelles, les établissements mettent en place des
indicateurs d’alerte avancés, qui leur permettent d’identifier les sources potentielles de risques
opérationnels (taux de croissance anormalement élevé, ruptures de transactions, pannes de
système). Ces indicateurs comportent généralement des seuils, dont le dépassement déclenche la mise
en œuvre d’actions préventives.
Les banques devraient adopter des politiques, processus et procédures pour maîtriser et/ou
atténuer les sources importantes de risque opérationnel. Elles devraient réexaminer
périodiquement leurs stratégies de limitation et de maîtrise du risque et ajuster leur profil de risque
opérationnel en conséquence par l’utilisation de stratégies appropriées, compte tenu de leur appétit
pour le risque et de leur profil de risque globaux.
31
Elles devraient également avoir un environnement de contrôle fort qui utilise une politique, des
processus et des systèmes ; des contrôles internes appropriés ; des stratégies appropriées
d’atténuation et/ou de transfert des risques.
32
d- Contrôle du système de gestion des risques opérationnels :
Les établissements mettent en place un système d’audit interne qui vérifie périodiquement que le
dispositif de gestion des risques opérationnels est mis en œuvre avec efficacité au niveau de
l’ensemble de l’établissement.
Les banques devraient présenter une résilience et avoir des plans de secours et de continuité
d’activité en place pour assurer une capacité de fonctionnement sans interruption et de façon
permanente et de limiter les pertes en cas de perturbation majeure de l’activité.
Les établissements revoient périodiquement ces plans et les tests pour vérifier qu’ils sont en mesure
de les mettre en œuvre, même dans les situations de crises dont l’occurrence est très peu probable.
Les communications publiques d'une banque devraient permettre aux parties prenantes
d'évaluer son approche de la gestion du risque opérationnel.
La communication publique d'une banque sur des informations relatives à sa gestion du risque
opérationnel peut mener à une transparence et au développement de meilleures pratiques d'industrie à travers
la discipline de marché. La quantité et le type d’informations communiqués devraient être proportionnés
à la taille, au profil de risque et la complexité des opérations d'une banque et à l’évolution des pratiques
de l’industrie bancaire.
33
II. La cartographie du risque opérationnel
L’objectif d’une cartographie du risque opérationnel est bien d’établir un recensement et une
évaluation des risques au regard des contrôles en place, en vue de diffuser une information qui mette
en évidence d’éventuelles faiblesses résiduelles. Si cette information est nécessaire pour assurer un
pilotage de l’activité au regard de critères ou de limites quant à l’acceptation de risques que s’est
fixé l’établissement, l’élaboration d’une cartographie peut, selon la complexité de l’organisation et le
niveau de précision que l’on veut lui donner, constituer un travail fastidieux et coûteux. Aussi,
paraît-il opportun de s’intéresser aux bénéfices de l’exercice au regard de l’effort qu’il requiert.
Cette analyse est d’autant plus nécessaire que le régulateur, notamment dans le cadre des travaux
du Comité de Bâle sur le contrôle bancaire concernant le risque opérationnel, incite les établissements
à mener une cartographie de leurs risques opérationnels. Il serait alors tentant de se limiter à cette
incitation que nous qualifierons de réglementaire, et de ne pas intégrer la cartographie des risques à
une démarche plus globale de gestion et de pilotage. Néanmoins, associée à une compréhension
adéquate des processus et du système de contrôle, la cartographie des risques peut constituer
34
un outil puissant d’analyse et ainsi s’insérer pleinement dans le dispositif de pilotage des
performances.
35
1. Obstacles et difficultés:
Quelques obstacles peuvent parfois encore ralentir l’utilisation de la cartographie des risques dans le
cadre d’une démarche globale de gestion et de pilotage. Ces difficultés nous semblent plus relever
d’une résistance au changement ou d’un manque de communication et de formation, que d’un
débat de fonds sur l’intérêt et l’utilisation de cet outil.
Le premier écueil concerne le langage commun à établir. La compréhension des concepts relatifs
au risque opérationnel s’est heurtée pendant de nombreuses années à l’absence de définitions et
de référentiels clairs. À cet égard, les normes édictées par le Comité de Bâle (définition, types de
risque, lignes métiers...), constituent dorénavant le socle commun indispensable au
développement des méthodologies et surtout à la compréhension partagée des concepts et des
diverses cartographies.
Le deuxième obstacle est relatif à la surcharge de travail que peut constituer cet exercice de la part
d’opérationnels déjà fortement sollicités par leurs tâches quotidiennes. La description
synthétique des processus, l’identification des risques et enfin leur évaluation sont un exercice
indéniablement chronophage et souvent éloigné des préoccupations quotidiennes des
opérationnels mis à contribution.
Cette difficulté sera souvent accrue par l’absence de perception de l’intérêt que ces
contributeurs pourront tirer de la réalisation d’un tel exercice. Au contraire, dans la mesure où la
cartographie conduira indéniablement à mettre en évidence des faiblesses ou des déficiences dans le
dispositif de contrôle interne, elle pourra être davantage perçue comme l’instrument qui révélera
36
les propres imperfections du service ou du département à la Direction générale et, par suite, mettra en
évidence les carences de l’établissement aux yeux du vérificateur.
La mise en évidence d’imperfections ou de faiblesses est encore rarement perçue comme pouvant
contribuer à l’amélioration des processus internes, à une appréciation fine du coût du
37
risque et donc de sa tarification, ou à la mise œuvre d’un processus qualité au bénéfice du client.
Cette perception négative s’estompera sans doute au fil du temps, au fur et à mesure d’une
diffusion plus large des concepts et méthodologies de gestion du risque opérationnel.
Enfin, la mise en œuvre d’une cartographie des risques au sein d’établissements d’envergure
imposera de tenir compte des spécificités régionales ou de particularités de certains métiers. Le
caractère disparate et diffus du risque opérationnel fait de la cartographie des risques un
exercice complexe. Assurer l’exhaustivité de la collecte des éléments, la pertinence de la nature et de la
gravité des risques au regard de l’environnement spécifique de chaque métier ou fonction ou
encore l’homogénéité des évaluations, sont autant de difficultés auxquelles sont confrontées les
banques.
Un projet de cartographie peut, dans les grandes lignes, s’articuler autour de quatre étapes :
38
Quatre étapes d’un projet de cartographie
39
les lignes de métier touchées, directement ou indirectement, par un événement défavorable dans le
passé.
Ainsi les banques auront suffisamment de couples risque/métier pour pouvoir dresser une
matrice risque/métier. Cette méthode est utilisée, en général, par les banques qui possèdent un
historique de données relatif aux différents événements.
40
La deuxième méthode consiste à faire l’inventaire des différents facteurs du risque opérationnel
auxquels les métiers de la banque peuvent être exposés (analyse prospective) à partir d’une revue
des processus. Une typologie des risques opérationnels est établie : procédures inadaptées,
risques métier, risques humains (probité, compétence), risques externes (catastrophes,
contraintes réglementaires), risques technologiques. Puis il faut déterminer les lignes de métier
exposées aux risques opérationnels.
Cette étape consiste à diviser les différents processus élémentaires de la banque en sous-
processus, voire d’affiner cette division en dressant une liste des différentes fonctions au sein de
chaque département de la banque. À chaque ligne de métier est alors associé le risque qui peut
l’affecter directement ou indirectement.
Source : « Focus sur les méthodes de construction d’une cartographie et d’un dispositif de gestion
des Risques opérationnels. »
L’analyse du risque opérationnel, fondée sur les processus, mettra en évidence comment la
défaillance potentielle d’un processus dans un secteur de l’organisation pourra avoir des
41
répercussions sur un autre et ainsi contribuer à identifier les responsabilités en matière de mise en
œuvre de plan de réduction des risques.
42
L’objectif de cette phase est d’identifier et d’analyser les événements de risque attachés à chaque
processus à partir de la cartographie établie lors de la phase précédente.
Il sera important que les événements de risque soient décrits de façon factuelle et que leurs causes
et conséquences soient analysées afin de permettre l’identification des impacts (financiers, de
réputation...) en fonction des conséquences et par suite l’élaboration des plans d’actions à mettre en
œuvre en fonction des causes.
Dès lors, chaque événement de risque doit pouvoir être rattaché à une cause de
dysfonctionnement. Bâle II propose quatre natures de causes qui doivent permettre de couvrir
l’ensemble des cas de figure.
Les cartographies de risques ainsi rédigées permettront de décrire les risques et d’identifier les
contrôles associés. La définition préalable d’une typologie des risques doit faciliter l’exercice
d’identification et de classement des risques afin de normer les présentations et de permettre des
restitutions claires et synthétiques.
43
L’évaluation des risques nécessite la définition d’un barème qui permette d’objectiver et
d’homogénéiser l’appréciation qui en est faite. Seule la définition d’une échelle commune à
l’ensemble des directions pourra permettre d’obtenir des résultats cohérents et exploitables.
44
Dès lors, l’évaluation des risques peut être effectuée selon une notation chiffrée pour laquelle il
conviendra de fixer les règles.
L’évaluation suivant une codification de type « fort, moyen, faible » sans échelle de critères se révèle
trop subjective et ne permet pas de garantir une homogénéité au sein du groupe. Les échelles de
valeurs exigeront par conséquent une structuration rigoureuse et adaptée à l’environnement
spécifique de l’établissement.
Impact de réputation/Gravité
45
Impact faible:
Confidentialité faiblement compromise et/ou faible interruption de service
Faible nombre de clients/tiers nécessitant d’être informés
Les responsables hiérarchiques directs nécessitent seuls d’être informés des risques
encourus
46
Impact non négligeable
Confidentialité modérément compromise et/ou interruption de service modérée
Nombre non négligeable de clients/tiers nécessitant d’être informés
Presse défavorable (au niveau national)
Révélation défavorable d’un tiers
Les chefs de département doivent être informés des risques encourus
Impact fort
47
La normalisation des réponses imposera la diffusion d’indications suffisamment précises pour
permettre de guider l’évaluateur dans son appréciation du risque et qu’il puisse se prononcer sans
équivoque. Ainsi peut-on imaginer des grilles d’évaluation qui proposent différentes illustrations
qui permettent de cerner par analogie le type de réponse attendue.
48
Les grilles les plus abouties proposent une codification des réponses au travers de
questionnaires détaillés pour chaque typologie de risque.
Malgré toute l’attention portée à la détermination des critères qui vont permettre une
harmonisation des cotations, l’exercice pourra toutefois conserver une dimension subjective qui
pourra être limitée par la confrontation de l’avis de plusieurs experts. La combinaison des
expériences permettra, en effet, de cerner une réalité souvent difficile à appréhender.
Les exercices d’auto-évaluation des risques pourront dès lors gagner à faire l’objet d’ateliers de travail
(workshop) qui permettront cette confrontation des avis d’experts. Ce type d’exercice n’est
toutefois pas sans poser de nouvelles difficultés car s’il n’est pas suffisamment structuré, il peut être
source de débats déplacés et se révéler au final contre-productif. Un certain nombre de techniques
permettent toutefois de structurer l’approche d’évaluation au titre desquelles on peut citer le recours
à des outils de vote qui permettent, par l’affichage immédiat des résultats obtenus, d’établir un
consensus rapide sur un niveau de risque.
49
Cotation finale : elle est obtenue en calculant la moyenne du croisement
(fréquence x impact)
51