MTHODOLOGIE

Contrle interne et gestion des risques oprationnels

La gestion des risques oprationnels ne peut se fonder sur les seules mthodes quantitatives. Laudit interne aura un rle majeur jouer dans la validation des dmarches de nature qualitative permettant de raliser une cotation des risques et des contrles.

Marie-Agns Nicolet
Associe

AudisoftConsultants

P
Michel Maignan
Responsable de la gestion des risques

Banque Cantonale de Genve

our la gestion des risques oprationnels dune banque, les mthodes purement quantitatives ont vcu. En effet, si de nombreux tablissements qui souhaitaient tre en mthode avance au moment de la mise en place de la rforme du ratio de solvabilit ont commenc par collecter leurs pertes, les bases de donnes qui se sont ainsi constitues et la quantification des fonds propres ne savrent pas des donnes suffisantes pour le pilotage de ces risques. Sagissant des mthodologies qui permettent dvaluer ces risques, la premire phase est celle de lidentification prcise des vnements de risques dont le niveau de dtail doit permettre la mise en exergue de chaque facteur de risque. Cette premire tape passe par une descrip-

tion prcise des processus de chaque activit. La seconde tape consiste valuer ces vnements de risques, en tenant compte de limpact potentiel des consquences et de la probabilit doccurrence de ces risques. Cette valuation peut tre mene avec laide dexperts, par le recours des bases de donnes externes, ou par la dfinition de scnarios pour lesquels limpact financier du risque devra tre valu de la manire la plus prcise possible. Lorsque lon ne dispose pas de donnes statistiques suffisantes pour raliser une valuation prcisment chiffre, une mthode consiste disposer dintervalles permettant de coter les vnements de risques afin de les hirarchiser, du risque le plus fort au risque le plus faible (tableau). Cette mthode aura lavantage de visualiser les lments de risques et les processus majeurs, au regard des risques potentiels quils pourraient gnrer (sans tenir compte des dispositifs de contrle interne dj en place). Cette mthode ne permet pas une valuation aussi prcise que celle dite des scnarios, qui chiffre l'impact potentiel et la probabilit d'occurence. Elle pourrait tre moins adapte l'approche avance pour l'application de Ble II. En revanche, elle

permet d'acclrer le processus d'valuation des risques par les oprationnels et sera particulirement adapte pour respecter les exigences des saines pratiques de la gestion des risques oprationnels. Lors de ltape suivante, on se posera alors la question des dispositifs de contrle et de matrise des risques existants. Lvaluation de ces derniers sera facilite par la mise en place pralable dun rfrentiel de contrlecible.

LA CONSTRUCTION DU RFRENTIEL DE CONTRLE CIBLE

Construire un rfrentiel cible de contrle prsente plusieurs avantages. Tout dabord, prsentant la cible atteindre en matire de contrle, il sera, primtre dactivit gal, llment permanent qui permettra de rvaluer priodiquement les dispositifs existants. Par ailleurs, ce rfrentiel, qui peut se prsenter sous forme de points de contrles ou dune srie de questions, permet de mettre les dispositifs servant couvrir ces risques en regard des vnements de risques identifis prcdemment. Ce rfrentiel intgre la fois les grands principes de contrle interne, comme les sparations de foncAvril 2005 n668 Revue Banque

51

RISQUES

&

R G L E M E N TA T I O N

DISPOSITIF

Illustration de hirarchisation des vnements des risques

Impact
Trs lev lev Moyen Faible Trs faible Importante Moyenne Moyenne Faible Trs faible Trs faible Importante Moyenne Moyenne Faible Faible Faible Critique Importante Moyenne Moyenne Moyenne Moyenne Critique Importante Importante Moyenne Moyenne Eleve Critique Critique Importante Importante Importante Trs leve

tion, par exemple dclines pour chaque couple processus/vnement de risque, ainsi que lensemble des rglementations applicables et des normes dontologiques, notamment dans le cadre des activits de march. Il intgre galement les plans de continuit dactivit qui sont lunique moyen de couvrir les risques de sinistres, frquence doccurrence faible mais impact trs lev. Il est important que les oprationnels eux-mmes valident ce rfrentiel-cible de contrle pour en assurer la pertinence vis--vis de leur propre organisation.

Probabilit
A

LVALUATION DES DISPOSITIFS DE CONTRLE EXISTANTS

Ltape dvaluation des dispositifs de contrle interne et de matrise des risques est une tape particulirement importante dans la dmarche dvaluation des risques oprationnels. En effet, cest par la dfinition des carts entre le rfrentiel-cible et les dispositifs existants que seront cots les systmes de contrle interne afin de mettre en place les plans daction destins scuriser les processus et diminuer les risques. Par ailleurs, lvaluation des risques nets se dduira des risques bruts et de lvaluation des dispositifs de contrle existants. Lvaluation des dispositifs de contrle est donc une tape essentielle des dmarches de gestion des risques oprationnels, permettant la fois de tracer la cotation des risques en justifiant le rsultat obtenu, tout en assurant un pilotage des plans dactions afin de scuriser les processus.

Les dmarches dvaluation des risques pilotes par des directions de risques sont conduites par les oprationnels eux-mmes, ce qui ncessitera une validation indpendante.

LE RLE DE LAUDIT INTERNE VIS--VIS DE CES DMARCHES

Les dmarches prsentes ci-dessus, qui permettent de raliser une cotation des risques et des contrles, amnent naturellement se poser la question du rle de laudit interne, tant en termes de validation des rsultats des risk-assessment quen termes dutilisation de ces derniers pour planifier les missions. En effet, les dmarches dvaluation des risques pilotes par des directions de risques sont conduites par les oprationnels eux-mmes, ce qui ncessitera comme la dailleurs prvu le Comit de Ble, une validation indpendante. Or, cest bien l que lau-

dit interne a un rle majeur jouer. Il sagira de valider, par une mthode daudit, la valeur des expositions rsiduelles par la ralisation de tests de validation sur certains axes, ainsi que par lanalyse de la cohrence entre les rsultats des missions daudit, dune part, et du self-assessment, dautre part. En revanche, rien nempche laudit interne dutiliser les rsultats du selfassessment pour prioriser ses missions, dans la mesure o lensemble des activits et des risques, y compris ceux considrs comme faibles par les oprationnels, font lobjet de revue dans un dlai raisonnable. Enfin, les rsultats des missions daudit interne sintgrent naturellement aux reportings consolids de gestion des risques oprationnels et quelques indicateurs, comme le nombre de recommandations mises en place, peuvent galement alimenter cet tat de synthse. I

52

Revue Banque n668 Avril 2005