Cet article appartient au dossier : Réduire le risque, la nouvelle obsession.

Risque opérationnel : une remise en cause permanente

Les banques ont mis en place des outils sophistiqués pour contrer les risques opérationnels et industrialiser les processus de contrôle permanent. Dès lors, la routine et une confiance excessive à l’égard des outils peuvent mener à une baisse de vigilance. Les contrôles inopinés sont donc indispensables.

L'auteur

Revue de l'article

Cet article est extrait de
Banque & Stratégie n°303

Réduire le risque : la nouvelle obsession

Le risque opérationnel impacte directement l’exigence de fonds propres des établissements financiers et entre dans le champ d’action du contrôle permanent. Les acteurs se sont approprié le sujet et, en vue de l’identification de ce risque et de sa maîtrise, ils se sont structurés en profondeur. Cependant, ils doivent faire face à l’émergence de nouvelles natures d’événements de risque et à l’essoufflement potentiel des acteurs du contrôle agissant dans le cadre de dispositifs sophistiqués.

Les contraintes réglementaires de maîtrise du risque opérationnel semblent bien assimilées par les établissements financiers. La réforme de Bâle II a imposé de se doter de dispositifs de contrôle et de maîtrise du risque opérationnel couvrant l’ensemble des métiers. Selon leurs objectifs ou contraintes et en fonction de leurs moyens, les établissements ont opté soit pour l’indicateur de référence [1], soit pour les modèles internes (méthode AMA [2]), afin de définir l’exigence de fonds propres au titre du risque opérationnel leur incombant. Les instances dirigeantes et les fonctions de contrôle se sont pleinement approprié le sujet. La gestion des risques dans son ensemble, et du risque opérationnel en particulier, a entraîné une véritable structuration du dispositif de contrôle. Le contrôle permanent s’est renforcé et repose sur un dispositif humain et matériel apparemment efficient. La gestion du risque opérationnel, hormis quelques cas médiatisés (affaire Kerviel, par exemple), apparaît en place. Et pourtant…

Les types de risque générateurs de pertes sont identifiés ainsi que les lignes métiers les plus concernées. La base de données de pertes ORX [3], à laquelle contribuent trois acteurs majeurs français, met en évidence la prédominance de trois lignes métiers en termes de pertes brutes et de fréquence d’occurrence des événements de risques :

Au regard de la fréquence d’occurrence, sur la période 2004-2009, la banque de détail contribue à hauteur de 60 % du total des événements avérés. Au regard de la sévérité, la banque de détail représente la part de pertes brutes la plus importante, près de 30 % du total des pertes, recensées à partir du seuil minimum de 20 000 euros. Le métier Trading & Sales contribue à une part importante des pertes (22,6 %), devant la banque commerciale (14,3 %).

Le rapport ORX daté de juin 2010 met en lumière l’importance sans cesse accrue de la fraude externe en tant qu’événement de risque. Aussi, si les types d’événements « exécution, livraison et gestion des processus [5] » et « clients/produits et pratiques commerciales » constituent deux parmi les trois risques les plus fréquents et coûteux des années écoulées, le risque constaté de fraude externe ne cesse d’augmenter. Il est nécessaire de prendre la mesure de cette évolution à la lueur des chiffres. Ce type d’événement représentait 32 % des pertes brutes collectées par ORX à la fin 2009, contre 9,5 % en 2006. Le phénomène s’accentue actuellement, principalement sous les traits de la croissance de la cyberfraude, avec différents procédés (phishing, pharming…) utilisés pour l’usurpation d’identité et le détournement de biens.

D’autres événements de risque opérationnel semblent aujourd’hui focaliser l’attention, notamment celle des régulateurs. Ils relèvent du risque juridique et touchent à la protection du respect du client ou au respect de l’application du droit de la concurrence.

Les établissements financiers nationaux se sont structurés en conséquence pour gérer le risque opérationnel. Au regard de la gestion des risques, une proximité accrue entre la gestion des risques opérationnels et la fonction conformité est avérée. Cette évolution tient à plusieurs facteurs tels que le durcissement des exigences des régulateurs, les impacts organisationnels découlant de risques subis ainsi que la gestion prospective des risques potentiels. Par exemple, les cas médiatisés de rogue trading ont entraîné une remise à plat de la sécurité des systèmes d’information internes des établissements et la revue des contrôles des limites de trading, ainsi que des mécanismes de remontée d’alertes. Chaque établissement fait ainsi évoluer son dispositif de façon récurrente. À titre d’exemple, afin de lutter contre le risque de cybercriminalité, le Crédit Agricole a adapté son dispositif organisationnel : l’établissement dispose désormais de deux unités entièrement dédiées, l’une chargée de détecter et contrecarrer les attaques virales, l’autre spécialisée dans la détection des phénomènes ayant pour but l’usurpation d’identité et le détournement de biens (voir supra). Des dispositifs complexes de gestion des risques opérationnels se sont construits, au travers d’une répartition des activités en processus et sous-processus à partir desquels des cartographies de risque ont été réalisées. Nombreux sont les établissements qui, de fait, ont établi une liaison très étroite entre les fonctions d’analyse des risques opérationnels et les fonctions de contrôle, ces dernières tendant par ailleurs à se rapprocher de plus en plus des fonctions « métiers ». En pratique, et de manière concrète, l’identification des événements de risques et la mise en application de dispositifs de maîtrise des risques ont fortement impacté les modes de fonctionnement et l’organisation des établissements. Une pratique de contrôles a priori et a posteriori est également effectuée et la bonne réalisation des contrôles est elle-même analysée de près.

Les limites de l’exercice peuvent être atteintes en raison de la nature évolutive du risque opérationnel et de la lourdeur de l’organisation mise en place. Comme évoqué précédemment, le dispositif de contrôles est à la fois mature et évolutif. Les fonctions de contrôle tendent à se structurer continuellement, en termes d’organisation, de profils et d’outils, afin d’atteindre une maîtrise qualitative et quantitative. Toutefois, au-delà des cas les plus médiatisés, tous les acteurs du contrôle ont conscience que le risque zéro n’existe pas et que la capacité des individus à tenter de contourner les dispositifs existants est illimitée. L’efficience des dispositifs doit sans cesse être remise en question, d’autant que l’industrialisation des contrôles permanents et l’exploitation d’outils parfois sophistiqués peuvent avoir des effets néfastes en termes d’efficacité. En effet, la structuration pyramidale des responsabilités et l’affinement des contrôles définissent les acteurs en charge des contrôles et les fréquences de l’exercice. Cette affectation et la normalisation qui l’accompagne sont susceptibles de créer une « banalisation » de l’exercice. La conséquence inhérente à cette répétition structurelle et fréquentielle du contrôle est le risque d’essoufflement des contrôleurs, voire de moindre attention entre deux contrôles. Par ailleurs, l’utilisation grandissante d’outils sophistiqués est susceptible de réduire naturellement la vigilance des contrôleurs. Dès lors, les missions des responsables des instances de contrôle impliquent :

  • de mettre en application des contrôles inopinés en marge de ceux programmés ;
  • de mobiliser sans cesse les effectifs, afin de maintenir leur curiosité ;
  • d’entretenir le sens de l’analyse inhérent à tout contrôleur attentif et responsable ;
  • de former des analystes et contrôleurs pluridisciplinaires recouvrant l’expertise métier et la culture du contrôle.

Les instances dirigeantes des établissements doivent conforter les responsables des instances de contrôle dans ces orientations et leur apporter la légitimité nécessaire à la concrétisation de ces intentions. Ce constat s’applique en France, où l’on note que les grands établissements ont très rapidement adopté la méthode AMA pour la gestion et la quantification de leurs risques opérationnels. Cela n’a pas été généralisé au sein de l’Union européenne et notamment au Royaume-Uni où la grande majorité des acteurs majeurs conservent l’application de la méthode standard.

[1] Les approches de base et standard introduisent un indicateur de référence assimilable au PNB.

[2] La méthode AMA est une approche plus sophistiquée qui repose sur des méthodes internes de calcul d’exigence de capital adoptées par les banques. L’une des méthodes les plus courantes est celle dite des distributions des pertes (« Loss Distribution Approach », LDA), qui repose sur l’estimation de la perte non anticipée à partir de la modélisation des montants et des fréquences des pertes opérationnelles.

[3] Operational Riskdata eXchange Association.

[4] Transactions et courtage, dans les opérations de marché.

[5] Par exemple, erreur d’enregistrement des données, défaillances dans la gestion des sûretés, lacunes dans la documentation juridique, erreur d’accès aux comptes de la clientèle, défaillances des fournisseurs ou conflits avec eux.

 

Sommaire du dossier

Réduire le risque, la nouvelle obsession

Sur le même sujet