MASTER FINANCE ET GOUVERNANCE DES ORGANISATIONS

Le financement de l’Agence
Régionale d’Exécution des
Projets
Réalisé par : Manal HADIR

Basma BENDAHHOU

Encadré par : Pr.T.EL QOUR

Année Universitaire

2018-2019

1
Introduction générale :

La gestion des risques dans le secteur financier est devenue un facteur de succès
stratégiquement important en raison de la globalisation de l’économie mondiale et des
importantes innovations financières et bancaires, ainsi l’attention du management s’est
déplacé des risques de marché aux risques opérationnels en passant par les risques de crédit.
L’une des raisons de ce déplacement est attribuable aux nombreux cas de pertes notoires de
banques de renom imputables avant tout aux risques opérationnels.

En effet, les cas de pertes d’Enron, 2,4 milliards de dollars, de Barings Bank, 1,3 Milliards de
dollars, d’Allied Irish Bank, 690 millions de dollars, …et récemment celui de la Société
Générale, 5 milliards d’euros, ont dévoilé au grand public les conséquences dramatiques des
risques liés à des dysfonctionnements opérationnels et ont confirmé le besoin impératif pour
les banques de se munir des moyens de prévention les plus efficaces.

Toutefois, le risque opérationnel n’est pas un risque totalement nouveau pour les banques et
les autorités de surveillance, mais il a néanmoins pris plus d’importance ces dernières années,
principalement en raison des modifications du cadre d’exercice et de la conduite des activités
bancaires. Cet essor des risques opérationnels dans un contexte de globalisation et
d’internationalisation des activités est par ailleurs le résultat de la sophistication de ces
activités, tant dans la conception de nouveaux produits auxquels sont associés de nouveaux
risques, que dans la mise en place de systèmes d’information de plus en plus complexes.

Suite à cette importante évolution du risque opérationnel et des pertes subies par les banques,
le comité de Bâle sur le contrôle bancaire dans son Accord de « Bâle II » a jugé nécessaire d’en
assurer une couverture non seulement par le développement de meilleures pratiques de
gestion au sein des banques, mais également par la mise en place d’une exigence minimale de
fonds propres pouvant être calculée selon trois approches différentes, à savoir l’approche de
l’indicateur de base, l’approche standard et l’approche des mesures avancées.

2
Quelles sont les différentes phases d’évolution de la réglementation prudentielle internationale
en matière de gestion des risques ? Quels sont les principaux risques liés à l’activité bancaire ?
Et Comment mettre en place un dispositif efficace de gestion des risques opérationnels ?..
Autant de questions auxquelles nous allons tout au long de ce travail essayer d’apporter des
éléments de réponse.

3
 Chapitre 1 : la gestion du risque opérationnel

L’importance croissante qu’a prise le risque opérationnel ces dernières années a rendu
nécessaire la mise en place d’un traitement prudentiel adapté. Cependant, les caractéristiques
spécifiques de ce risque le rendent difficile à appréhender, ce qui complique davantage son
identification et sa mesure.

En effet, le risque opérationnel est un risque dont l’importance et la perception se sont accrues au
cours des dernières années, sous l’effet conjoint des principaux facteurs suivants :

 Les changements dans le fonctionnement des marchés financiers : la déréglementation et la

désintermédiation bancaire, associées à la globalisation des marchés et la complexité
des produits ont notamment contribué à accroître la concurrence entre les établissements
financiers et à étendre leurs domaines d’intervention (nouvelles activités, nouveaux
produits...), et ainsi à élargir la sphère des risques associés.

 La sophistication des techniques financières : la scène internationale a assisté à la naissance

de nouvelles activités bancaires de plus en plus complexes à gérer rendant ainsi certains
risques plus présents. Par exemple, le développement du commerce électronique16
(eBanking, eCommerce) soulève de nouvelles questions en matière de fraude ou de sécurité
Informatique.

 L’évolution des processus internes : les changements organisationnels et

l’automatisation croissante du fonctionnement interne des établissements, avec un rôle de
4
 plus en plus central accordé aux outils informatiques en particulier, renforce les risques
de naturetechnique.

16
Le commerce électronique ou vente en ligne, désigne l'échange de biens et de services entre deux entités réseaux
informatiques, notamment Internet.

5
  Les événements extérieurs : Les risques exceptionnels (de faible occurrence mais de forte
intensité), comme les catastrophes naturelles, les actes terroristes ou de blanchiment
d’argent, font aujourd’hui l’objet d’une attention plus importante.

 La multiplicité des scandales financiers : Barings en 1995, 1,2 milliard de dollars ; Bank of America
FleetBoston Financial Corp en 2004, 675 millions de dollars ; Société Générale en 2008,
4,9 milliards d’euro.

En fait pour faire face à ces différentes mutations, les établissements bancaires doivent relever des
défis exceptionnels afin de se doter d'avantages concurrentiels et de systèmes performants de
prévention et de gestion des risques, leur permettant à la fois de maitriser leurs métiers et
d’améliorer leurs rentabilités

6
 Section 1 : Définition et enjeux

I. Introduction :

Pour être appréhendé et géré, un risque doit être connu et identifié. La première étape dans la mise en
œuvre d’une stratégie de gestion des risques opérationnels est donc de définir avec assez de
précision quels sont les risques que l’on souhaite suivre.

II. Définition du Risque opérationnel par le comité de Bâle :

La notion de risques opérationnels est extrêmement large : elle exprime tous les risques
pouvant engendrer un dommage, une perte, un coût, créés ou subis lors de la réalisation de
l’activité courante de l’entreprise : infrastructures, cycles de production, de distribution,
processus logistique, gestion documentaire, etc. En résumé, les risques opérationnels
matérialiseront tous les impacts directs ou indirects engendrés par l’entreprise dans son activité
quotidienne.

Dans le cadre des travaux de réflexion ayant conduit à l’élaboration du texte de Bâle 2, le risque
opérationnel fut d’abord défini comme une catégorie par défaut regroupant tous les risques ne
pouvant se rattacher aux deux catégories préexistantes du risque de crédit et de marché. Le comité
de Bâle a instauré une définition plus ciblée de ce risque :

7
 « Le risque opérationnel se définit comme le risque de pertes résultant de carences
ou de défauts attribuables à des procédures, personnels et système internes ou à des
événements extérieurs. La définition inclut le risque juridique, mais exclut les risques
stratégiques et de réputation. »17

17
Par 644.convergence internationale de la mesure et des normes de fonds propres (juin 2004), dit « nouvel accord de Bâle »

8
Cette définition, introduite par le Comité de Bâle dans le cadre de l’élaboration du projet Bâle II suite à
de nombreux échanges avec la profession bancaire, est désormais communément admise. Elle
permet en premier lieu de donner une définition positive du risque opérationnel, en lieu et place de
la définition communément utilisée du « ni risque de marché, ni risque de crédit ». Simultanément,
cette définition se montre suffisamment large pour englober certains risques importants (comme le
risque juridique18 par exemple), tout en évitant les écueils d’une énumération ou d’une liste qui ne
reprendrait que différentes sous-catégories prédéfinies du risque opérationnel (Par exemple :
risque opérationnel = risque informatique + risque environnemental + risque juridique + ...) et
qui risquerait, par construction, d’être trop limitative. Elle recense quatre causes, à la fois internes
et externes, qui restent suffisamment générales pour permettre son application et sa déclinaison
dans chaque établissement, selon les spécificités, l’organisation et la terminologie internes.

Cette définition se montre équilibrée dans son champ d’application car tout en restant large dans
son objet, elle permet une identification précise des éléments couverts. Sa construction présente la
particularité de partir des conséquences, des effets du risque opérationnel (les conséquences
financières), pour remonter aux causes. Elle s’articule ainsi autour de la notion de perte, qui constitue
le point de départ de son traitement prudentiel.

Cette démarche présente un intérêt évident, compte tenu des difficultés et des spécificités du risque
opérationnel mentionnées ci-dessus. Les pertes opérationnelles représentent de fait la seule donnée
disponible, faute de disposer a priori d’une mesure de l’exposition.

Toutefois, la limitation du risque opérationnel aux conséquences financières a, de fait, conduit à

exclure du champ du risque opérationnel certains de ses composants. En effet, toutes les
conséquences du risque opérationnel ne prennent pas nécessairement la forme de pertes

9
18
Le risque juridique inclut, entre autres, l’exposition à des amendes, pénalités et dommages pour faute résultant de l’exercice de
surveillance prudentielle ainsi que de transactions privées.

10
Financières. En outre, certaines pertes financières s’avèrent particulièrement difficiles à
recenser et mesurer avec précision.

Ainsi, l’Accord de Bâle II prévoit explicitement que les risques stratégiques et de réputation sont exclus
du champ du risque opérationnel. Pourtant ces risques trouvent souvent leur origine dans des
causes similaires à celles évoquées pour le risque opérationnel (une inadaptation ou une défaillance
imputable à des procédures, personnels et systèmes internes, ou à des événements extérieurs).
Ainsi par exemple, dans un contexte d’accroissement des paiements électroniques, le piratage du
système informatique d’une banque entraînerait, outre d’éventuelles pertes opérationnelles
liées à la fraude, une altération de son image de marque une fois l’information rendue publique. Le
risque de réputation et le risque stratégique sont ainsi par nature des risques très proches du risque
opérationnel. Cependant, ces risques sont souvent difficiles à identifier et ne prennent pas
nécessairement la forme de pertes financières.

En outre, ces risques présentent un caractère particulièrement diffus et se manifestent

rarement de manière isolée, mais engendrent, au contraire, souvent de multiples
répercussions, qui peuvent s’étaler sur une longue période. La dégradation de l’image d’une banque
peut ainsi avoir des conséquences diffuses sur les différents composants de son Produit net bancaire
(PNB) (commissions, intérêts…), à travers une réduction de ses parts de marché, ou bien se traduire
par un accroissement de ses coûts de refinancement. De ce fait, il est extrêmement difficile de
recenser toutes les pertes liées à ces risques, et il serait vraisemblablement illusoire de vouloir
les rattacher à une cause unique.

Dans le même ordre d’idée, les premiers travaux du Comité de Bâle sur la prise en compte du risque
opérationnel dans Bâle II intégraient, à la fois, les pertes directes et indirectes, dans un souci de
couverture exhaustive de ce risque. L’idée initiale du Comité était ainsi de doter les établissements

11
de fonds propres suffisants pour couvrir les pertes directes, mais aussi les pertes indirectes
certaines, comme par exemple les coûts nécessaires pour résoudre un incident opérationnel, les
pertes latentes... Toutefois, il s’est avéré impossible de prendre en

12
compte systématiquement les pertes indirectes, compte tenu de la difficulté à les identifier, ce qui
risquait d’aboutir à de nombreuses erreurs (double comptage ou omission) dans le calcul des
exigences de fonds propres. Ces pertes indirectes sont, en effet, bien souvent difficiles à rattacher à
un évènement précis et à une source donnée. Au final, la définition du risque opérationnel fait
donc simplement référence aux pertes, laissant les établissements libres d’intégrer ou non les
pertes indirectes.

Le choix du Comité de Bâle de restreindre le risque opérationnel à ses seules conséquences

financières présente, par ailleurs, l’intérêt évident de garantir l’objectivité de la mesure,
indispensable pour un calcul neutre des fonds propres, qui ne laisse pas une marge
d’interprétation ou une discrétion trop importante aux établissements, ce qui pourrait conduire à des
écarts d’exigences de fonds propres non justifiés entre eux.

Néanmoins, la nécessaire collecte des pertes opérationnelles que suppose la mise en œuvre de cette
définition n’est pas sans soulever des difficultés. En effet, ces pertes doivent en premier lieu être
identifiées comme telles, grâce à un système d’allocation qui permette de les associer à leur source, à
leur cause.

Conclusion :

Jusqu'à présent, le risque opérationnel souffre d'un problème de définition. La méthodologie

unique d'action face au risque n’existe pas. Selon leurs buts de gestion et leurs modes
d’organisation, les entreprises adoptent la définition du risque opérationnel qui représente mieux
leurs distributions de perte.

13
 Section 2 : Classification Bâloise des risques
opérationnels

Introduction :

Face aux difficultés rencontrées lors de l’identification et l’allocation des pertes

opérationnelles, le Comité de Bâle a élaboré une classification des différents types
d’évènements de perte destinée à faciliter leur identification et qui permet également de mieux
appréhender l’étendue du risque opérationnel.

I. La classification Bâloise des risques opérationnels :

Sont ainsi recensés comme types de perte : la fraude interne, la fraude externe, les pratiques en
matière d’emploi et de sécurité du travail, les clients, produits et pratiques commerciales, les
dommages occasionnés aux actifs physiques, les interruptions et dysfonctionnements des systèmes et
l’exécution, livraison et gestion des processus. Ces événements ne se rattachent pas à une ligne métier
particulière et sont susceptibles d’être observés dans toutes les activités de la banque.

 Fraude interne : « il s’agit des actes de fraude, d’expropriation ou de contournement de la

régulation, de la loi ou de la politique de l’entreprise (sont exclus les événements liés à la
discrimination impliquant au moins une partie interne). » Par exemple, informations inexactes
sur les positions, vols commis par les employés et délit d’initié d’un employé opérant pour
son propre compte.

14
 Fraude externe : « pertes dues à des actions visant à frauder, à détourner des biens ou à
contourner la législation, de la part d’une partie extérieure à la banque ». Par exemple,

15
 Hold-up, Faux en écriture, chèque de cavalerie et dommages dus au piratage
informatique.

 Pratiques en matière d’emploi et sécurité sur le lieu de travail : « Actes ne respectant pas les
codes du travail, sanitaires ou de sécurité, ou qui entraînent l’indemnisation de poursuites
judiciaires pour les accidents de travail ou la discrimination. » Par exemple, indemnisation
des employés, violation des règles de santé et de la sécurité des employés, non-respect
des libertés syndicales, plaintes pour discrimination et responsabilité civile, etc.

 Pratiques concernant les clients, les produits et l’activité commerciale : « Défaillance non
intentionnelle ou due à la négligence vis-à-vis des engagements professionnels envers des
clients (incluant les obligations fiduciaire et d’adéquation des produits et services aux
besoins du client), ou provenant de la nature ou de la conception de produit. » Par
exemple, violation de l’obligation fiduciaire, utilisation frauduleuse d’informations
confidentielles sur la clientèle, opérations boursières malhonnêtes pour le compte de la
banque, blanchiment d’argent et vente de produits non autorisés.

 Dommages aux actifs corporels : « Destruction ou dommages résultant d’une

catastrophe naturelle ou d’autres sinistres. » Par exemple, actes de terrorisme,
vandalisme, séismes, incendies et inondations.

 Interruption d’activités et dysfonctionnements des systèmes : « pertes résultant

d’interruption de l’activité ou de dysfonctionnements des systèmes. ». Par exemple,
pannes de matériel et de logiciel informatiques, problèmes de télécommunications et
pannes d’électricité.

16
  Exécution, livraison et gestion des processus : défaillance dans les processus de transaction
ou de gestion et des relations avec les contreparties et les fournisseurs. Par exemple, erreur
d’enregistrement des données, défaillances dans la gestion des sûretés, lacunes dans la
documentation juridique, erreur d’accès aux comptes clients, mauvaises performances des
contreparties non clientes, litiges avec les fournisseurs, etc.

II. Exemple des pertes :

Les pertes importantes qu’ont subies plusieurs banques et établissements financiers, illustrent par
ailleurs, de manière assez pragmatique, les conséquences d’un dysfonctionnement du processus
de mesure et de gestion des risques opérationnels. Certaines de ces pertes, listées par la Banque des
règlements internationaux, sont :

Catégories des pertes de risque Exemple de ces pertes

opérationnel
Allied Irish Bank, Barings et Daiwa ont perdu
Fraude interne 700 million de dollars, 1 milliard de dollars
et 1,4 milliard de dollars respectivement sur
la base de transaction frauduleuses.

Republic New York corporation a perdu 611

Fraude externe millions de dollars en raison de fraudes
commises par un client.

17
 Merrill lynch a perdu 250 millions de
Pratiques en matière d’emploi et dollars suite à une décision de justice dans
sécurité sur le lieu de travail une affaire de discrimination à l’embauche.

18
 Household international a perdu 484
Pratiques concernant les clients, les produits millions de dollars à cause de prêts
et l’activité commerciale frauduleux, Providian financial
corporation a perdu 405 millions de dollars
en raison de ventes et de facturations
frauduleuses.

Bank of New York a perdu 140 millions de

Dommages aux actifs corporels dollars à cause des attaques terroristes du 11
septembre 2001.

Salomon brothers a perdu 303 millions de

Interruption d’activités et dollars en raison d’une modification du
dysfonctionnements des systèmes système informatique.

Bank of America et Wells Fargo Bank ont perdu

Exécution, livraison et gestion des 225 millions de dollars et 150 millions de
processus dollars respectivement en raison de
défaillances des systèmes d’intégration et
des processus de transaction.

Source : John Hull « Gestion des risques et institutions financières »

Conclusion :

La plupart des banques disposent de systèmes de gestion du risque opérationnel. Cependant, la

perspective de nouveaux capitaux requis pour ce risque les a conduits à accroître des
ressources allouées à sa mesure et à son contrôle.

19
 Section 3 : Risques Bancaires et spécificité du risque
opérationnel :

Introduction :
Le risque peut se définir comme un danger éventuel plus ou moins prévisible. La caractéristique propre
du risque est donc l’incertitude temporelle d’un évènement ayant une certaine probabilité de
survenir et de mettre en difficulté la banque.

I. Risques bancaires :
Les activités bancaires génèrent de nombreux risques.

Les régulateurs exigent que les banques détiennent des fonds propres suffisants pour couvrir leurs
risques. En 1987, des standards internationaux ont été développés pour déterminer le niveau
adéquat de ces fonds propres. Les règles de Bâle, appliquent une allocation pour trois types de
risques : risque de crédit, risque de marché et risque opérationnel.

 Risque de crédit :
Le risque de crédit correspond au risque de contreparties fassent défaut lors de transactions de prêts et
dérivés. Il s’agit du risque traditionnellement le plus important et pour lequel le capital
réglementaire est le plus conséquent

 Risque de marché :

Le risque de marché provient principalement des opérations de trading et correspond au risque de

baisse de valeur des instruments du trading book de la banque.

 Risque opérationnel :
Le risque opérationnel est le risque de pertes dues à des défaillances de systèmes internes ou
d’événements externes.
20
L’horizon temporel pour considérer les pertes dues aux risques de crédit et opérationnel est d’un
an. Il est ramené à dix jours en ce qui concerne les pertes dues au risque de marché.

21
L’objectif des régulateurs est de faire en sorte que les fonds propres bancaires soient
suffisamment élevés pour que le risque de faillite bancaire soit très faible.

A- Risque de crédit :
Le risque de crédit traduit la défaillance possible d’un emprunteur, d’un émetteur d’obligations ou
d’une contrepartie dans une transaction financière. Le régulateur a depuis longtemps demandé
aux banques de détenir du capital face à ce risque. Dans Bâle II, les banques sont libres d’utiliser leur
propre modèle d’évaluation des probabilités de défaut, préalablement validé par le régulateur,
afin de déterminer le montant de fonds propres à détenir. Cela a conduit ces institutions à
dépenser des ressources importantes afin de choisir le modèle le plus adéquat.

Généralement l’observateur a du risque de crédit une perception assez limitative dans la

mesure où il le restreint au risque de défaillance de l’emprunteur, encore appelé « risque de
contrepartie ». Cependant ce risque n’est pas propre à la finance indirecte, il est également
présent dans le cadre de l’intermédiation financière notamment dans des opérations
complexes négociées sur des marchés financiers de gré à gré.

B- Risque de marché :
On définit le risque de marché comme étant l'exposition de l'entreprise à une évolution
défavorable des taux ou des prix. Il concerne les taux d'intérêt, les taux de change, les cours des matières
premières ou des actions. Le risque de marché est présent à différents niveaux : une position (un
endettement, la perception dans le futur d'un flux de devise), une activité (achat facturé dans une
devise autre que celle de la facturation des ventes), un portefeuille (des titres de placement et de
participations).

Généralement, les risques de marché font référence aux risques résultant d’une volatilité des
rendements, des taux d’intérêt des cours de change et de la valeur des titres ou des matières
premières.

Dans un amendement au premier accord de Bâle 1988 instaurant le ratio Cooke, le comité de Bâle
précise que les banques doivent fournir un indicateur du risque de marché traduisant la
22
perte potentielle maximale pour un certain niveau de confiance à une date donnée. Cet
indicateur, utilisé par les banques les plus avancées en matière de gestion des risques, doit alors
permettre de déterminer le montant des fonds propres nécessaires pour faire face à ces pertes
imprévues.

De façon assez globale, les risques de marché sont ceux liés aux fluctuations des taux d’intérêt, des taux
de change et des cours de bourse :

 Risque de taux d’intérêt :

Il est défini comme l'éventualité pour un établissement de crédit de voir sa rentabilité affectée par
l'évolution des taux d'intérêts. Il conduit à la vulnérabilité de la situation financière d'une banque.
Dans le cas de l'appréhension de ce risque, il s'agit, généralement à travers des représentations
graphiques, de mettre en exergue un risque de financement ou d'investissement afin de réaliser
des prévisions annuelles.

Risque de change :

Il s’agit du risque financier lié à une évolution défavorable de devises, entraînant des pertes de change.

C'est le risque lié à la possession par la banque d'actifs ou de contrats en monnaie étrangère et résulte
des variations des cours des devises.

Spéculation sur titres financiers : la gestion d’un portefeuille-titres par les établissements financiers
pour leur propre compte, les expose à un risque qui dépend de leur stratégie d’investissement,
mais aussi du degré de turbulence ou du calme régnant sur les marchés financiers. Il s’agit là d’un
risque qui se traduit par la fluctuation du cours des valeurs détenues, indépendamment du risque de
contrepartie qui se concrétisera également dans ces cours.

C- Risque opérationnel :

23
Le risque opérationnel, cette notion recouvre toutes les erreurs de traitement, qui peuvent
survenir au cours de la vie d’un dossier, telles que : déblocage des fonds, avant que toute la

24
documentation requise n’ait été réunie, saisie erronée des conditions de crédit dans les
systèmes de gestion, mauvaise identification des concours compromis…

Il existe plusieurs façons de définir le risque opérationnel. La première consiste à le considérer comme
un risque résiduel qui n’est ni un risque de crédit, ni un risque de marché. Pour en inférer une
estimation, on peut éliminer du compte de résultat de la banque (a) l’impact des pertes de crédit et
(b) les pertes et profits générés par les positions de marché. La variation du résultat ainsi retraité
serait alors attribuée au risque opérationnel.

Malheureusement, cette définition reste trop générale, car elle inclut les risques associés à
l’entrée sur de nouveaux marchés, au développement de nouveaux produits, aux facteurs
économiques, etc. Une autre définition possible consiste à considérer que le risque opérationnel
provient des risques d’erreur dans les transactions et les paiements, par exemple. Cependant, cette
définition est trop réductrice, car elle n’inclut pas des risques majeurs comme le « risque de trading ».

Le risque opérationnel pour les établissements financiers (banque et assurance) est le risque de
pertes directes ou indirectes dues à une inadéquation ou à une défaillance des procédures
de l'établissement (analyse ou contrôle absent ou incomplet, procédure non sécurisée), de son
personnel (erreur , malveillance et fraude), des systèmes internes (panne de l'informatique,...) ou à
des risques externes (inondation, incendie,...). Dans le cadre du dispositif Bâle II, la définition du
risque opérationnel, les procédures à mettre en place pour le limiter et les méthodes de
quantification ont été normalisées

D- Spécificité du risque opérationnel :

Le « Wild West Semantico » donne une définition plus vaste du risque opérationnel : « tout risque
autre que les risques de crédit et de marché ». Le risque opérationnel présente au moins deux
caractères distincts du risque de crédit et du risque de marché. Tout d’abord, l’exposition au risque

25
opérationnel n’est pas la contrepartie d’un gain potentiel. Ce qui conduit au second point : le R.O
doit être obligatoirement contrôlé et éliminé autant que possible.

26
Pour certaines banques, le risque opérationnel englobe tous les risques ne pouvant pas être classés
dans les catégories risque de crédit, risque de marché ou risque de liquidité (Comité de Bâle sur le
Contrôle Bancaire, 1998).

Le risque opérationnel présente de nombreuses particularités par rapport aux autres risques
bancaires. En effet, il est réputé moins fréquent que les autres risques, même si la complexité et la
grande taille des institutions financières, ainsi que la sophistication des produits financiers augmentent
la probabilité d’occurrence d’un tel risque. Cependant, il est considéré comme très grave et ses
conséquences peuvent être désastreux. Contrairement aux autres types de risques, l’exposition au
risque opérationnel ne peut être ni plafonnée, ni échangée (Thirlwell, 2010b). De surcroît, son
impact financier ne peut être limité ni couvert par des contrats de couverture, étant donné son
caractère imprévisible. En outre, le risque opérationnel concerne toutes les activités ainsi que toutes
les personnes employées par la banque sans distinction (Blunden et Thirlwell, 2010). À cet égard, ce
risque est encore plus difficile à gérer et à évaluer.

Conclusion :

Pendant longtemps, la gestion du risque opérationnel était purement qualitative. Les

publications des institutions bancaires étaient descriptives, ne permettant pas une comparaison des
risques entre les banques, et peu utiles aux utilisateurs des états financiers (Ford et al. 2009). C’est
la réforme de Bâle II qui a imposé aux banques l’allocation de capital permettant de couvrir leur
risque opérationnel. La définition du risque opérationnel telle que fixée par le Comité de Bâle est
spécialement adaptée à un objectif d’évaluation de ce risque. En effet, la difficulté de calculer les
risques de pertes indirectes résultant de la défaillance humaine, procédurale ou externe à la
banque a abouti à une définition plus restrictive du risque opérationnel. La définition finalement
retenue ne tient pas compte de ces risques difficilement mesurables, pourtant inclus dans la
première proposition de définition (Basel Committee on Banking Supervision, 2001).

27
 Section 4 – La démarche de gestion du risque

opérationnel :

I- Principes fondamentaux de la gestion du risque opérationnel :

A- La gouvernance :

a- Le conseil d’administration :

Le conseil d’administration devrait considérer les principaux aspects du risque opérationnel de la

banque comme une catégorie distincte de risque à gérer, et il devrait approuver et réexaminer
périodiquement le dispositif de gestion de ce risque. Ce dispositif devrait fournir une définition du
risque opérationnel valable pour la banque tout entière et poser les principes servant à identifier,
évaluer, suivre et maîtriser/atténuer ce risque.

Le conseil d’administration devrait garantir que le dispositif de gestion du risque opérationnel de la

banque est soumis à un audit interne efficace et complet, effectué par un personnel
fonctionnellement indépendant, doté d’une formation appropriée et compétent. La fonction
d’audit interne ne devrait pas être directement responsable de la gestion du risque
opérationnel

b- La direction :

La direction générale devrait avoir pour mission de mettre en œuvre le dispositif de gestion du risque
opérationnel approuvé par le conseil d’administration. Ce dispositif devrait être appliqué de façon

28
cohérente dans l’ensemble de l’organisation bancaire, et les membres du personnel, à tous les niveaux,
devraient bien comprendre leurs responsabilités dans la gestion du risque opérationnel. La
direction générale devrait aussi être chargée d’élaborer des politiques, processus et procédures
de gestion du risque opérationnel pour tous les produits, activités, processus et systèmes
importants.

29
 B- Environnement de gestion du risque :

a- Identification et appréciation des risques opérationnels :

L'identification du risque et son appréciation sont les caractéristiques fondamentales d'un système de gestion
du risque opérationnel efficace. Une bonne appréciation du risque permet à la banque de mieux comprendre
son profil de risque et d’allouer des ressources et des stratégies de gestion du risque plus efficacement.

Parmi les outils qui peuvent être utilisés pour identifier et apprécier le risque opérationnel il y a :

 Un outil d’autoévaluation : L’objectif est de réaliser un examen attentif de tous les aspects
relatifs au risque opérationnel. Ce processus d’autoévaluation doit conduire à l’attribution
de ratings ou scores appréciant la qualité, mais aussi et surtout, les insuffisances des
différentes dimensions de la gestion du risque opérationnel à l’œuvre de la banque.

 La cartographie des processus d’activité : les cartographies des processus d’activité identifient
les étapes clefs des processus, des activités et des fonctions organisationnelles. Ils
identifient aussi les points clefs de risque sur l’ensemble du processus. Les cartographies
de processus peuvent révéler des risques individuels, des interdépendances de risques et des
zones de faiblesse dans les domaines du contrôle ou de la gestion du risque. Ils peuvent aussi
aider à donner des priorités entre les actions à entreprendre.

 Un bloc « indicateurs de risque clés » : le bloc « indicateurs de risque clés » joue un rôle très
important la fois au niveau de l’interprétation et de la prévention du risque opérationnel.
Ces indicateurs de risque clés proviennent de diverses sources (ressources humaines, systèmes
de FrontOffice, etc.) au sein de l’organisation financière et sont étalonnés sur une période
de temps déterminé en fonction de mécanismes de déclenchement pré spécifiés
(escalation triggers)

 Indicateurs de risque : Etablis sur la base de statistiques et/ou de diverses mesures, souvent à
caractère financier, les indicateurs de risque (nombre d’opérations non

30
 exécutées, mobilité des effectifs, fréquence et/ou gravité des erreurs et omissions,…)
donnent une idée sur l’exposition de l’établissement aux risques opérationnel.

Ces indicateurs sont généralement revus de façon périodique de manière à tenir

informés les organes d’administration et de direction sur les changements porteurs de
risques.

b- Suivi des risques opérationnels :

Les banques devraient mettre en œuvre un processus de suivi régulier des profils de risque
opérationnel et des expositions importantes à des pertes. Les informations utiles à une gestion
dynamique du risque opérationnel devraient être régulièrement communiquées à la direction
générale et au conseil d’administration.

Outre le suivi des cas de pertes opérationnelles, les établissements mettent en place des
indicateurs d’alerte avancés, qui leur permettent d’identifier les sources potentielles de risques
opérationnels (taux de croissance anormalement élevé, ruptures de transactions, pannes de
système). Ces indicateurs comportent généralement des seuils, dont le dépassement déclenche la mise
en œuvre d’actions préventives.

c- Maîtrise et atténuation des risques opérationnels :

Les banques devraient adopter des politiques, processus et procédures pour maîtriser et/ou
atténuer les sources importantes de risque opérationnel. Elles devraient réexaminer
périodiquement leurs stratégies de limitation et de maîtrise du risque et ajuster leur profil de risque
opérationnel en conséquence par l’utilisation de stratégies appropriées, compte tenu de leur appétit
pour le risque et de leur profil de risque globaux.

31
Elles devraient également avoir un environnement de contrôle fort qui utilise une politique, des
processus et des systèmes ; des contrôles internes appropriés ; des stratégies appropriées
d’atténuation et/ou de transfert des risques.

32
 d- Contrôle du système de gestion des risques opérationnels :

Les établissements mettent en place un système d’audit interne qui vérifie périodiquement que le
dispositif de gestion des risques opérationnels est mis en œuvre avec efficacité au niveau de
l’ensemble de l’établissement.

L’organe d’administration s’assure de l’adéquation du système d’audit interne et de sa capacité à

vérifier que les politiques et procédures opérationnelles sont correctement mises en place. Il veille, en
outre, directement ou par l’intermédiaire du comité d’audit, à ce que la portée et la fréquence du
programme d’audit interne concordent avec le degré d’exposition aux risques opérationnels.

e- Résilience et continuité d'activité :

Les banques devraient présenter une résilience et avoir des plans de secours et de continuité
d’activité en place pour assurer une capacité de fonctionnement sans interruption et de façon
permanente et de limiter les pertes en cas de perturbation majeure de l’activité.

Les établissements revoient périodiquement ces plans et les tests pour vérifier qu’ils sont en mesure
de les mettre en œuvre, même dans les situations de crises dont l’occurrence est très peu probable.

C- Rôle de la communication publique :

Les communications publiques d'une banque devraient permettre aux parties prenantes
d'évaluer son approche de la gestion du risque opérationnel.

La communication publique d'une banque sur des informations relatives à sa gestion du risque
opérationnel peut mener à une transparence et au développement de meilleures pratiques d'industrie à travers
la discipline de marché. La quantité et le type d’informations communiqués devraient être proportionnés
à la taille, au profil de risque et la complexité des opérations d'une banque et à l’évolution des pratiques
de l’industrie bancaire.

33
 II. La cartographie du risque opérationnel

Si l’on se réfère à la définition qu’en donnent les dictionnaires traditionnels, la notion de

cartographie se limite à l’art d’établir des cartes géographiques. Pour autant, sans que le terme ne
constitue réellement un néologisme, les dictionnaires récents proposent une acception plus large et
évoquent une représentation de phénomènes mesurables, sous forme de diagrammes ou de schémas
où l’exactitude topographique est abandonnée au bénéfice d’informations quantitatives. Aussi,
appliquée au risque opérationnel, la notion de cartographie peut-elle s’entendre comme le relevé
et la représentation des risques d’une entreprise qui privilégiera une information exploitable dans
une logique de gestion.

L’objectif d’une cartographie du risque opérationnel est bien d’établir un recensement et une
évaluation des risques au regard des contrôles en place, en vue de diffuser une information qui mette
en évidence d’éventuelles faiblesses résiduelles. Si cette information est nécessaire pour assurer un
pilotage de l’activité au regard de critères ou de limites quant à l’acceptation de risques que s’est
fixé l’établissement, l’élaboration d’une cartographie peut, selon la complexité de l’organisation et le
niveau de précision que l’on veut lui donner, constituer un travail fastidieux et coûteux. Aussi,
paraît-il opportun de s’intéresser aux bénéfices de l’exercice au regard de l’effort qu’il requiert.

Cette analyse est d’autant plus nécessaire que le régulateur, notamment dans le cadre des travaux
du Comité de Bâle sur le contrôle bancaire concernant le risque opérationnel, incite les établissements
à mener une cartographie de leurs risques opérationnels. Il serait alors tentant de se limiter à cette
incitation que nous qualifierons de réglementaire, et de ne pas intégrer la cartographie des risques à
une démarche plus globale de gestion et de pilotage. Néanmoins, associée à une compréhension
adéquate des processus et du système de contrôle, la cartographie des risques peut constituer

34
un outil puissant d’analyse et ainsi s’insérer pleinement dans le dispositif de pilotage des
performances.

35
 1. Obstacles et difficultés:

Quelques obstacles peuvent parfois encore ralentir l’utilisation de la cartographie des risques dans le
cadre d’une démarche globale de gestion et de pilotage. Ces difficultés nous semblent plus relever
d’une résistance au changement ou d’un manque de communication et de formation, que d’un
débat de fonds sur l’intérêt et l’utilisation de cet outil.

Le premier écueil concerne le langage commun à établir. La compréhension des concepts relatifs
au risque opérationnel s’est heurtée pendant de nombreuses années à l’absence de définitions et
de référentiels clairs. À cet égard, les normes édictées par le Comité de Bâle (définition, types de
risque, lignes métiers...), constituent dorénavant le socle commun indispensable au
développement des méthodologies et surtout à la compréhension partagée des concepts et des
diverses cartographies.

Le deuxième obstacle est relatif à la surcharge de travail que peut constituer cet exercice de la part
d’opérationnels déjà fortement sollicités par leurs tâches quotidiennes. La description
synthétique des processus, l’identification des risques et enfin leur évaluation sont un exercice
indéniablement chronophage et souvent éloigné des préoccupations quotidiennes des
opérationnels mis à contribution.

Cette difficulté sera souvent accrue par l’absence de perception de l’intérêt que ces
contributeurs pourront tirer de la réalisation d’un tel exercice. Au contraire, dans la mesure où la
cartographie conduira indéniablement à mettre en évidence des faiblesses ou des déficiences dans le
dispositif de contrôle interne, elle pourra être davantage perçue comme l’instrument qui révélera

36
les propres imperfections du service ou du département à la Direction générale et, par suite, mettra en
évidence les carences de l’établissement aux yeux du vérificateur.

La mise en évidence d’imperfections ou de faiblesses est encore rarement perçue comme pouvant
contribuer à l’amélioration des processus internes, à une appréciation fine du coût du

37
risque et donc de sa tarification, ou à la mise œuvre d’un processus qualité au bénéfice du client.
Cette perception négative s’estompera sans doute au fil du temps, au fur et à mesure d’une
diffusion plus large des concepts et méthodologies de gestion du risque opérationnel.

Enfin, la mise en œuvre d’une cartographie des risques au sein d’établissements d’envergure
imposera de tenir compte des spécificités régionales ou de particularités de certains métiers. Le
caractère disparate et diffus du risque opérationnel fait de la cartographie des risques un
exercice complexe. Assurer l’exhaustivité de la collecte des éléments, la pertinence de la nature et de la
gravité des risques au regard de l’environnement spécifique de chaque métier ou fonction ou
encore l’homogénéité des évaluations, sont autant de difficultés auxquelles sont confrontées les
banques.

2. Comment concevoir et déployer une cartographie des risques :

Un projet de cartographie peut, dans les grandes lignes, s’articuler autour de quatre étapes :

 La définition des processus.

 Le recensement des risques inhérents et des contrôles associés.

 La définition des critères d’évaluation des risques.

 Et enfin la cotation des risques identifiés.

38
 Quatre étapes d’un projet de cartographie

Source : « la cartographie du risque opérationnel, outil réglementaire ou outil de pilotage »

a. La définition des processus :

Deux méthodologies peuvent être utilisées : la première méthode consiste à dresser un

récapitulatif des différents risques opérationnels qui ont touché les services de la banque et causé
des pertes (analyse historique). Le but n’est pas de mesurer ou quantifier le risque mais de déterminer

39
les lignes de métier touchées, directement ou indirectement, par un événement défavorable dans le
passé.

Ainsi les banques auront suffisamment de couples risque/métier pour pouvoir dresser une
matrice risque/métier. Cette méthode est utilisée, en général, par les banques qui possèdent un
historique de données relatif aux différents événements.

40
La deuxième méthode consiste à faire l’inventaire des différents facteurs du risque opérationnel
auxquels les métiers de la banque peuvent être exposés (analyse prospective) à partir d’une revue
des processus. Une typologie des risques opérationnels est établie : procédures inadaptées,
risques métier, risques humains (probité, compétence), risques externes (catastrophes,
contraintes réglementaires), risques technologiques. Puis il faut déterminer les lignes de métier
exposées aux risques opérationnels.

Cette étape consiste à diviser les différents processus élémentaires de la banque en sous-
processus, voire d’affiner cette division en dressant une liste des différentes fonctions au sein de
chaque département de la banque. À chaque ligne de métier est alors associé le risque qui peut
l’affecter directement ou indirectement.

Schéma de l'Etape définition de processus

Source : « Focus sur les méthodes de construction d’une cartographie et d’un dispositif de gestion
des Risques opérationnels. »

L’analyse du risque opérationnel, fondée sur les processus, mettra en évidence comment la
défaillance potentielle d’un processus dans un secteur de l’organisation pourra avoir des

41
répercussions sur un autre et ainsi contribuer à identifier les responsabilités en matière de mise en
œuvre de plan de réduction des risques.

b. Le recensement des risques et des contrôles

42
L’objectif de cette phase est d’identifier et d’analyser les événements de risque attachés à chaque
processus à partir de la cartographie établie lors de la phase précédente.

Il sera important que les événements de risque soient décrits de façon factuelle et que leurs causes
et conséquences soient analysées afin de permettre l’identification des impacts (financiers, de
réputation...) en fonction des conséquences et par suite l’élaboration des plans d’actions à mettre en
œuvre en fonction des causes.

Dès lors, chaque événement de risque doit pouvoir être rattaché à une cause de
dysfonctionnement. Bâle II propose quatre natures de causes qui doivent permettre de couvrir
l’ensemble des cas de figure.

 Les systèmes d’information : défaillance matérielle, bogue logiciel, obsolescence des

technologies (matériel, langages de programmation...) ;

 Les processus (saisies erronées, non-respect des procédures...) ;

 Les personnes (compétences, formation, absentéisme, fraude, mouvements sociaux... mais

aussi capacité de l’entreprise à assurer la relève sur les postes clés) ;

 Les événements extérieurs (terrorisme, catastrophe naturelle, environnement

réglementaire...).

Les cartographies de risques ainsi rédigées permettront de décrire les risques et d’identifier les
contrôles associés. La définition préalable d’une typologie des risques doit faciliter l’exercice
d’identification et de classement des risques afin de normer les présentations et de permettre des
restitutions claires et synthétiques.

c. La définition des critères d’évaluation :

43
L’évaluation des risques nécessite la définition d’un barème qui permette d’objectiver et
d’homogénéiser l’appréciation qui en est faite. Seule la définition d’une échelle commune à
l’ensemble des directions pourra permettre d’obtenir des résultats cohérents et exploitables.

44
Dès lors, l’évaluation des risques peut être effectuée selon une notation chiffrée pour laquelle il
conviendra de fixer les règles.

Aujourd’hui, les établissements soumis à la réglementation de Bâle évaluent les risques en

fonction de leur fréquence et de leurs impacts financiers mais les cartographies peuvent être
enrichies par des évaluations en fonction de critères plus qualitatifs, par exemple sur le risque image,
c’est-à-dire sur l’impactquepeut avoirunincident sur la réputation de l’établissement.

L’évaluation suivant une codification de type « fort, moyen, faible » sans échelle de critères se révèle
trop subjective et ne permet pas de garantir une homogénéité au sein du groupe. Les échelles de
valeurs exigeront par conséquent une structuration rigoureuse et adaptée à l’environnement
spécifique de l’établissement.

L’exemple ci-après de grille d’évaluation qualitative sur la réputation permet d’illustrer la

rigueur indispensable à une évaluation pertinente. Lorsque l’évaluation est par essence
subjective, à dire d’expert, il convient d’objectiver au mieux les critères d’évaluation.

Exemple de grille d’évaluation qualitative sur la réputation

Impact de réputation/Gravité

45
Impact faible:
 Confidentialité faiblement compromise et/ou faible interruption de service
 Faible nombre de clients/tiers nécessitant d’être informés
 Les responsables hiérarchiques directs nécessitent seuls d’être informés des risques
encourus

46
Impact non négligeable
 Confidentialité modérément compromise et/ou interruption de service modérée
 Nombre non négligeable de clients/tiers nécessitant d’être informés
 Presse défavorable (au niveau national)
 Révélation défavorable d’un tiers
 Les chefs de département doivent être informés des risques encourus
Impact fort

 Confidentialité compromise de façon importante et/ou importante interruption de

 service
 Grand nombre de clients/tiers nécessitant d’être informés
 Dégradation importante des relations avec le client
 Litiges contre les employés de la société.
 La banque fait l’objet de sanctions (non publiées) de la part des autorités.
 Presse défavorable (au niveau international).
Les membres du Comité exécutif doivent être informés des risques encourus.
Impact majeur
 Confidentialité compromise de façon majeure et/ou interruption de service majeure
 Litiges contre la société.
 La banque est impliquée dans un scandale majeur ou fait l’objet de la publication de
sanctions graves de la part des autorités.
 La société ne peut pas répondre à des obligations clés vis-à-vis de tiers.
 Le Conseil d’administration ou les autres membres influents doivent être informés des
risques encourus.

Source : « la cartographie du risque opérationnel, outil réglementaire ou outil de pilotage »

47
La normalisation des réponses imposera la diffusion d’indications suffisamment précises pour
permettre de guider l’évaluateur dans son appréciation du risque et qu’il puisse se prononcer sans
équivoque. Ainsi peut-on imaginer des grilles d’évaluation qui proposent différentes illustrations
qui permettent de cerner par analogie le type de réponse attendue.

48
Les grilles les plus abouties proposent une codification des réponses au travers de
questionnaires détaillés pour chaque typologie de risque.

d. La cotation des risques :

Malgré toute l’attention portée à la détermination des critères qui vont permettre une
harmonisation des cotations, l’exercice pourra toutefois conserver une dimension subjective qui
pourra être limitée par la confrontation de l’avis de plusieurs experts. La combinaison des
expériences permettra, en effet, de cerner une réalité souvent difficile à appréhender.

Les exercices d’auto-évaluation des risques pourront dès lors gagner à faire l’objet d’ateliers de travail
(workshop) qui permettront cette confrontation des avis d’experts. Ce type d’exercice n’est
toutefois pas sans poser de nouvelles difficultés car s’il n’est pas suffisamment structuré, il peut être
source de débats déplacés et se révéler au final contre-productif. Un certain nombre de techniques
permettent toutefois de structurer l’approche d’évaluation au titre desquelles on peut citer le recours
à des outils de vote qui permettent, par l’affichage immédiat des résultats obtenus, d’établir un
consensus rapide sur un niveau de risque.

49
 Cotation finale : elle est obtenue en calculant la moyenne du croisement
(fréquence x impact)

Source : « Focus sur les méthodes de construction d’une

cartographie et d’un dispositif de
gestion des Risques opérationnels. »

La cartographie des risques se révèle être l’un des instruments les

plus pertinents pour identifier et analyser de façon structurée les
risques auxquels tout établissement doit faire face, et permettre ainsi les
actions nécessaires d’atténuation, de contrôle ou de transfert des risques.
Les méthodologies sont aujourd’hui largement répandues, de
nombreux outils informatiques sont disponibles pour soutenir cette
démarche, et la formation à ces techniques s’est largement développée.
Conclusion :
Pour réussir le déploiement d’une cartographie des risques et en
faire un véritable outil d’analyse mais aussi de gestion, d’autres
éléments sont néanmoins indispensables : une compréhension fine
des métiers et de leurs processus, la clarté et la simplicité opérationnelle
de la méthodologie, un savoir-faire sur le calibrage et le pilotage de
l’exercice, une grande rigueur dans la mise en œuvre et, enfin, une
politique de communication et de formation.

51