BANK AL-MAGHRIB

LE GOUVERNEUR DN 29/G/2007 Rabat, le 13 avril 2007

Directive relative au dispositif de gestion des risques oprationnels Le gouverneur de Bank Al-Maghrib : vu la loi n 34-03 relative aux tablissements de crdit et organismes assimils promulgue par le dahir n 1-05-178 du 15 moharrem 1427 (14 fvrier 2006), notamment ses articles 19 et 51 ; vu les dispositions de la circulaire de Bank Al-Maghrib relative au systme de contrle interne des tablissements de crdit ; aprs examen par le Comit des tablissements de crdit en date du 14 mars 2007; fixe par la prsente directive les rgles minimales devant tre observes par les tablissements pour la gestion des risques oprationnels.

Objet de la directive
La prsente directive, issue des recommandations mises par le comit de Ble en la matire, s'inscrit dans le cadre de la mise en uvre du deuxime pilier de Ble II. Elle constitue un rfrentiel de saines pratiques pour la mise en place par les tablissements de crdit, dsigns ci-aprs par tablissements , d'un dispositif de gestion des risques oprationnels mme de leur permettre d'identifier les sources potentielles de tels risques et d'en assurer la mesure, le suivi, le contrle et l'attnuation en rapport avec leurs taille et profil de risque ainsi que la complexit de leur activit. I- Champ d'application de la directive Les tablissements qui optent pour l'approche standard ou l'approche standard alternative (ASA) sont tenus, en vertu des dispositions des articles 59 62 de la circulaire 26/G/2006 relative aux exigences en fonds propres au titre des risques de crdit, de march et oprationnels, de se conformer strictement la prsente directive. Les autres tablissements se rfrent cette directive afin de renforcer leur dispositif de gestion des risques oprationnels.

II - Dfinition des risques oprationnels Aux termes de l'article 56 de la circulaire 26/G/2006, les risques oprationnels sont dfinis comme tant les risques de pertes rsultant de carences ou de dfaillances inhrentes aux procdures, au personnel et aux systmes internes ou des vnements extrieurs. Cette dfinition inclut le risque juridique, mais exclut les risques stratgique et de rputation.

III - Sources potentielles des risques oprationnels Les dispositifs de gestion des risques oprationnels permettent d'identifier l'ensemble des sources majeures des risques oprationnels et de couvrir au moins celles mentionnes ci-aprs : Fraude interne : Tout acte impliquant au moins une partie interne l'tablissement et visant dtourner des biens, des rglements ou des paiements, ou contourner des dispositions lgales ou rglementaires (informations inexactes sur les positions, vol commis par un employ, oprations ou activits non autorises, transactions sciemment non notifies, dtournement de fonds, falsification de documents, dlit d'initi, commissions occultes,...). Fraude externe : Tout acte imputable des tiers visant dtourner des biens, des rglements ou des paiements, ou contourner des dispositions lgales ou rglementaires (vol, fraude, dommages lis au piratage informatique, contrefaon, falsification de chques,...). Pratiques inappropries en matire d'emploi et de scurit sur les lieux de travail : Tout acte non conforme au code du travail ou aux conventions collectives. relatives l'emploi, la sant ou la scurit des employs, ou susceptible de donner lieu des demandes d'indemnisation au titre d'un dommage personnel, d'atteinte l'galit des employs ou d'actes de discrimination, d'activits syndicales ou de responsabilit civile d'une manire gnrale. Pratiques inappropries concernant les clients, les produits et l'activit commerciale : Tout manquement, non intentionnel ou d la ngligence, une obligation professionnelle envers des clients ou imputable la nature ou la conception d'un produit donn (violation de la confidentialit des informations sur la clientle, blanchiment de fonds, exercice illgal de certaines activits

soumises agrment, vente agressive, dpassement des limites d'exposition autorises pour un client, ..). Dommage aux biens physiques : Destructions ou dommages rsultant d'une catastrophe naturelle ou d'autres sinistres (vandalisme, terrorisme,...). Interruption d'activit et pannes de systmes : dysfonctionnement de l'activit (interruption ou perturbation d'un service) ou des systmes (matriel informatique, logiciel,tlcommunication,...). Inexcution des oprations, livraisons et processus : problmes dans le traitement d'une opration ou dans la gestion des processus ou des relations avec des fournisseurs et d'autres contreparties commerciales (donnes incorrectes ou errones sur des clients, pertes ou endommagement d'actifs de la clientle, documentation lgale insatisfaisante, gestion des srets inadquate, inexactitudes dans les rapports externes,...). IV- Surveillance des risques d'administration et de direction A. Organe d'administration L'organe d'administration (conseil d'administration, conseil de surveillance ou toute instance quivalente) approuve la mise en place du dispositif de gestion des risques oprationnels en tant que catgorie de risques distincte. A cet effet, il dfinit de manire claire et prcise les orientations et principes sous-tendant le dispositif devant tre mis en place par l'organe de direction et approuve les politiques y affrentes labores par ce dernier. Le dispositif de gestion des risques oprationnels prend en compte le niveau acceptable, par l'tablissement, de tels risques, en prcisant les politiques de leur gestion et la priorit donne leur mise en application, ainsi que les conditions dans lesquelles la gestion de ces risques peut tre ventuellement confie une entit externe l'tablissement. Le dispositif comporte galement des politiques dfinissant la mthodologie d'identification, d'valuation, de suivi et de matrise et/ou d'attnuation des risques. Le niveau de formalisation et de complexit de ce dispositif doit correspondre au profil de risque de l'tablissement. Il dfinit, en outre, . les processus essentiels mettre en place pour la gestion de ces risques. L'organe d'administration peut confier un comit ad hoc la charge de la mise en uvre du dispositif de gestion des risques oprationnels de l'tablissement. Il veille galement la mise en place d'un contrle interne solide. A cet effet, il est particulirement important que soient dfinis de manire claire les niveaux de responsabilit et de reporting en distinguant les fonctions de contrle des risques, oprationnels par les organes

les units oprationnelles et les fonctions support afin d'viter tous conflits d'intrts. L'organe d'administration procde, rgulirement, l'valuation du dispositif mis en place pour s'assurer de la bonne prise en charge des risques oprationnels rsultant d'volutions extrieures ainsi que de ceux lis aux produits, activits ou systmes nouvellement mis en place. Ce rexamen a pour objet de dterminer les pratiques les mieux adaptes aux activits, systmes et processus de l'tablissement. L'organe d'administration veille ce que le dispositif de gestion des risques oprationnels soit rvis la lumire de cette analyse, de faon prendre en compte les risques oprationnels importants. B. Organe de direction L'organe de direction (direction gnrale, directoire ou 'ioute instance quivalente) assure la dclinaison du dispositif de gestion des risques oprationnels, tel qu'agr et valid par l'organe d'administration, en politiques, processus et procdures prcis pouvant tre appliqus et contrls au sein des diverses entits de l'tablissement. Il veille galement doter les fonctions ou services, en charge de cette mission, des ressources appropries et valuer l'adquation du processus de surveillance de cette gestion au regard des risques inhrents l'activit de chaque unit de l'tablissement. L'organe de direction s'assure, en outre, que les agents ddis aux activits bancaires disposent de l'exprience professionnelle et de l'expertise technique requises et que les prposs au contrle du respect de la politique en matire de risques oprationnels soient investis d'une autorit indpendante l'gard des units qu'ils surveillent. Il veille, de mme, la diffusion de la politique de gestion des risques oprationnels au profit de l'ensemble du personnel et la mise en place de canaux garantissant une communication efficace entre le responsable de la gestion des risques oprationnels et les responsables chargs de la gestion des autres catgories de risques (risques de crdit, de march,...), ainsi qu'avec ceux chargs des relations avec les entits fournissant des services externes (par exemple, socits d'assurance et socits de sous-traitance). L'organe de direction porte une attention particulire la qualit du contrle de la documentation et aux pratiques d'excution des transactions. En particulier, les politiques, processus et procdures lis aux technologies modernes, traitant d'importants volumes de transactions, devraient tre bien documents et diffuss l'ensemble du personnel.

V- Systme d'identification, de mesure, de suivi, de matrise et d'attnuation des risques oprationnels A. Identification et mesure des risques oprationnels Le systme de gestion des risques oprationnels permet d'identifier les risques les plus significatifs et d'apprcier la vulnrabilit de l'tablissement ces risques. A cet effet, il prend en compte la fois les facteurs internes (notamment la nature des activits, la qualit des ressources humaines, les modifications de l'organisation et le taux de rotation du personnel) et externes (notamment les volutions du secteur bancaire et les progrs technologiques). Pour identifier et valuer leurs risques oprationnels, les tablissements peuvent recourir aux techniques suivantes : autovaluation : Les oprations et les activits de l'tablissement sont values sur la base de l'examen d'un ensemble de points potentiellement exposs aux risques oprationnels. Ce processus repose, en gnral, sur un ensemble de contrles effectus en interne et destins identifier les forces et faiblesses de l'environnement oprationnel. Les diffrents types d'expositions aux risques oprationnels font l'objet d'un classement sur la base d'une matrice de scoring qui prend en considration les instruments d'attnuation de ces risques. La matrice en question permet de convertir les valuations qualitatives en mesures quantitatives et de recenser les risques propres une activit donne, ainsi que ceux qui sont transversaux plusieurs activits. Elle peut galement tre utilise pour l'affectation, aux diverses activits, des fonds propres conomiques destins couvrir les risques oprationnels. cartographie des risques : Dans le cadre de ce processus, ies diverses units, fonctions organisationnelles et chanes d'oprations sont dclines en catgories de risques oprationnels, permettant ainsi l'organe de direction d'identifier les zones de risques et d'tablir des priorits pour les actions entreprendre. indicateurs de risque : Etablis sur la base de statistiques et/ou de diverses mesures, souvent caractre financier, les indicateurs de risque (nombre d'oprations non excutes, mobilit des effectifs, frquence et/ou gravit des erreurs et omissions,...) donnent une ide sur l'exposition de l'tablissement aux risques oprationnels.

Ces indicateurs sont gnralement revus de faon priodique de manire tenir informs les organes d'administration et de direction sur les changements porteurs de risques.

B. Suivi des risques oprationnels Outre le suivi des cas de pertes oprationnelles, les tablissements mettent en place des indicateurs d'alerte avancs, qui leur permettent d'identifier les sources potentielles de risques oprationnels (taux de croissance anormalement lev, lancement de nouveaux produits, rotation des employs, ruptures de transactions, pannes de systme). Ces indicateurs comportent gnralement des seuils, dont le dpassement dclenche la mise en uvre d'actions prventives. Le suivi des risques oprationnels doit faire partie intgrante de l'activit de l'tablissement. La priodicit de ce suivi est adapte aux risques ainsi qu' la frquence et la nature des changements de l'environnement oprationnel. La mise la disposition de l'organe d'administration d'informations opportunes lui permettrait d'apprcier le profil global de l'tablissement vis--vis des risques oprationnels et d'apprhender les retombes pratiques et stratgiques dcoulant de ces risques. En outre, les services concerns de l'tablissement (units oprationnelles, fonctions de groupe, responsable charg du suivi des risques oprationnels, audit interne,...) tablissent rgulirement, l'attention des niveaux appropris de la direction et aux lignes d'activit gnrant les expositions aux risques, des rapports sur les risques oprationnels. Ces rapports intgrent les donnes internes (aspects financiers, oprations et conformit), ainsi que les informations externes (de march) relatives aux vnements et conditions susceptibles d'influencer le processus de dcision. Ils doivent porter sur l'ensemble des zones de risques identifies et donner lieu des actions correctives rapides. Leurs rsultats peuvent servir de base pour la mise en place de politiques, procdures et pratiques de gestion des risques plus appropries. Pour s'assurer de l'exhaustivit et de la fiabilit de ces rapports, l'organe de direction vrifie rgulirement la rapidit, l'exactitude et la pertinence des systmes de reporting et des contrles internes. Lorsque les risques oprationnels identifis sont importants, les mesures appropries doivent tre prises rapidement en vue de ramener un niveau matrisable l'exposition ces risques. A dfaut, le positionnement de l'tablissement par rapport l'activit gnrant ces risques devrait faire l'objet de rvision.

Les tablissements mettent en place des processus et procdures de contrle, ainsi qu'un systme assurant la conformit des oprations un ensemble de politiques internes dment documentes. Les politiques et procdures, formalises et documentes, doivent tre appuyes par une solide culture de contrle favorisant la mise en uvre de saines pratiques de gestion des risques oprationnels. Dans ce sens, il incombe aux organes d'administration et de direction de mettre en place un solide processus de contrle. interne encadrant toutes les activits de l'tablissement, afin d'assurer la ractivit ncessaire vis--vis de tout vnement imprvu. C. Matrise et attnuation des risques oprationnels Les tablissements veillent adopter des pratiques internes visant assurer la matrise et l'attnuation des risques oprationnels, telles que : le suivi attentif du respect des limites et seuils de risque fixs ; la scurisation de l'accs aux patrimoines et archives de l'tablissement et de leur utilisation ; . la mise niveau des comptences et de la formation des agents ; l'identification des activits et produits dont les rendements paraissent disproportionns par rapport des attentes raisonnables ; la vrification et le rapprochement rguliers des oprations et des comptes. Les activits externalises font l'objet de politiques appropries de gestion des risques. Le recours des prestataires de services externes ne diminue pas la responsabilit des organes d'administration et de direction, qui il incombe de veiller ce que l'activit de ses prestataires soit mene de faon sre et saine, dans le respect du cadre rglementaire applicable. Les contrats d'externalisation doivent tre solides et reposer sur des conventions de service assurant une rpartition claire des responsabilits entre les prestataires de service externes et l'tablissement. En outre, la gestion des risques rsiduels lis ces contrats d'externalisation, y compris toute perturbation dans l'offre de services, doit tre prise en charge par l'tablissement. VI- Contrle du systme de gestion des risques oprationnels Les tablissements mettent en place un systme d'audit interne qui vrifie priodiquement que le dispositif de gestion des risques oprationnels est mis en uvre avec efficacit au niveau de l'ensemble de l'tablissement. L'organe d'administration s'assure de l'adquation du systme d'audit interne et de sa capacit vrifier que les politiques et procdures oprationnelles sont

correctement mises en place. Il veille, en outre, directement ou par l'intermdiaire du comit d'audit, ce que la porte et la frquence du programme d'audit interne concordent avec le degr d'exposition aux risques oprationnels. La fonction d'audit interne peut fournir des indications prcieuses aux personnes responsables de la gestion des risques oprationnels, mais elle ne doit pas tre, elle-mme, charge de responsabilits directes cet gard. Aussi, il importe de veiller son indpendance et sa non implication dans le processus de gestion au jour le jour des risques oprationnels, notamment dans le cas o elle serait charge du suivi du dispositif de gestion des risques oprationnels ou de l'laboration du programme de leur gestion. VII- Plan de continuit de l'activit En vue d'assurer le fonctionnement continu de leurs activits et de limiter les pertes en cas de fortes perturbations des oprations dues aux vnements majeurs, les tablissements se dotent d'un plan de continuit de l'activit et dsignent un responsable charg d'assurer la mise en uvre des mesures lies ce plan. Les tablissements revoient priodiquement ces plans et les testent pour vrifier qu'ils sont en mesure de les mettre en uvre, mme dans les situations de crises dont l'occurrence est trs peu probable. VIII- Reporting destin Bank Al-Maghrib Les tablissements communiquent priodiquement la Direction de la supervision bancaire de Bank Al-Maghrib un reporting spcifique sur les pertes gnres par les risques oprationnels. Celle-ci peut demander d'autres informations portant sur ces risques. IX- Entre en vigueur Les dispositions de la prsente directive entrent en vigueur partir de la date de sa signature.