Les évolutions réglementaires imposées aux établissements de crédit en termes de risk management, notamment au travers de Bâle II pour la gestion du risque de crédit et – dans une moindre mesure – pour le risque de marché, et de Bâle III pour le risque de liquidité, ont profondément modifié le paysage de la gestion des risques métiers. Par voie de conséquence, il est loisible d’observer une mutation des enjeux pour le contrôle interne. L’introduction par Bâle II du risque opérationnel a ouvert la voie à une appropriation prudentielle de ces risques, au-delà des démarches qualité déjà engagées de manière plus ou moins ambitieuse par les établissements. Les évolutions successives du CRBF 97-02 depuis 2004 ont renforcé cette dynamique : la gestion du risque opérationnel s’inscrit désormais au cœur du dispositif de contrôle interne.
Dans cette même logique, les premiers travaux du
Au-delà des évolutions, la gestion du risque opérationnel et le dispositif de contrôle interne sont par essence intimement liés, et la réglementation croissante des risques métiers renforce cette liaison. L’enjeu pour des établissements résilients se déplace : il s’agit aujourd’hui d’appréhender les risques opérationnels comme un élément majeur du dispositif de contrôle interne.
Les difficultés pratiques d'analyse du risque
A priori, les banques connaissent bien leurs risques puisqu’elles ont construit leur business model sur l’opportunité du profit qu’ils peuvent générer. D’ailleurs, la gestion du principal risque de la banque, lié à son métier de transformation, à savoir le risque de liquidité, a fait l’objet d’une réglementation tardive, après même la prise en compte des risques opérationnels. Mais la spécification opérationnelle d’un risque reste un exercice à géométrie variable qui dépend de l’angle analytique retenu.
Des réactions en chaîne…
L’analyse cyndinique apportée du monde nucléaire appliquée aux organisations soumises à un impératif de haute fiabilité (HRO) nous enseigne que le risque est un objet complexe dont la réalisation dépend d’abord de celle d’autres événements, elle-même à l’origine de la réalisation d’autres événements par voie de conséquence, formant ainsi une réaction en chaîne. L’analyse d’un risque nécessite donc l’analyse d’une chaîne de risques, qui est constituée d’autant d’événements liés entre eux, pour aboutir à une conséquence finale, qui s’exprime en bout de chaîne en termes financiers. L’ensemble de ces événements présente un ordre de réalisation déterminé : pour le risque de réalisation d’un événement donné, la réalisation du précédent événement est sine qua non et constitue donc une cause ; la réalisation du suivant, une conséquence. Ces causes sont tant d’ordre interne qu’externe. La réalisation d’un risque de crédit, dont l’événement consiste en un défaut de paiement d’un client, a pour conséquence une perte financière pour l’établissement de crédit, et pour cause, lorsqu’elle est interne, une anomalie dans le SI décisionnel, un non-respect des procédures par le commercial, un mauvais pilotage et calibrage du score d’octroi… autant de causes opérationnelles.
…segmentées pour des raisons de gestion
Pour des raisons pratiques, les responsables du dispositif de risk management ont circonscrit la réaction en chaîne : les risques sont étudiés à de multiples niveaux, mais segmentés. Une même cause de réalisation d’un risque va être appréhendée différemment selon la position de chaque acteur bancaire dans l’établissement. Ainsi, les erreurs d’exécution des processus, classées pour Bâle II dans la catégorie des risques opérationnels, sont la plupart du temps traitées isolément par les projets de cartographie des risques opérationnels, alors qu’il s’agit davantage d’une cause de réalisation d’un risque métier : c’est en raison d’anomalies dans le SI que le score d’octroi ne sera pas discriminant et que la décision d’octroi sur un client défaillant aboutira à une perte financière ; c’est parce qu’une erreur humaine de saisie de l’ordre d’achat sur les marchés a été réalisée au front office que l’ordre n’est pas conforme à la demande du client et qu’un risque de marché devra être assumé par l’établissement. Pour autant, ces causes internes de réalisation du risque métier constituent un risque intrinsèque pour le propriétaire du process – risque opérationnel pour le responsable du SI dans le premier cas, pour le responsable du front office dans le second –, alors que les conséquences représentent un risque métier pour le responsable du risque de crédit ou le responsable de la salle de marché. De la même manière, la réalisation d’une fraude constitue une cause externe pour un risque de crédit par exemple, bien qu’elle soit souvent comprise comme un risque opérationnel indépendant du processus.
La classification du Comité de Bâle…
Par ailleurs, dans sa définition du risque opérationnel, la réglementation prudentielle à travers les accords de Bâle II indique « le risque de pertes résultant d’une inadaptation ou d’une défaillance imputable à des procédures, personnes et systèmes internes, ou à des événements extérieurs » mais exclut les risques stratégiques et de réputation en raison des difficultés techniques de leur mesure. Pourtant, ces risques trouvent souvent leur origine dans des causes similaires à celles du risque opérationnel (Nouy, 2006). Or, l’aboutissement à un véritable ERM (Enterprise Risk Management) suppose que la banque intègre une approche holistique du risque, c’est-à-dire que les activités de gestion du risque soient liées à la stratégie et construites dans les processus métiers quotidiens (Bowling, Rieger, 2005).
La classification Bâle II est donc porteuse de confusion. Les risques opérationnels ne peuvent pas tous être analysés au même titre que les risques métiers : dans la plupart des cas, ils constituent des causes de réalisation des risques métiers et sont traités comme tels par les experts en risk management. La confusion apportée par la réglementation prudentielle s’explique certainement par l’angle d’analyse retenu du risque opérationnel : pour des raisons techniques de quantification, le parti pris du Comité de Bâle est de restreindre le risque opérationnel à ses seules conséquences financières en identifiant les pertes financières opérationnelles, c’est-à-dire les effets des risques opérationnels (Nouy, 2006). Or, toutes les conséquences du risque opérationnel ne prennent pas nécessairement la forme de pertes financières immédiates, puisqu’elles peuvent impacter le risque métier qui, lui-même, pourra entraîner une perte financière, sur un horizon temporel parfois étendu.
…parfois réductrice
Il en découle que l’évaluation des pertes financières, et par conséquent la pertinence et l’utilité des bases historiques de pertes opérationnelles pour aider à des décisions de gestion et se couvrir au sein d’un appétit de risque défini (sur lequel s'appuient la plupart des travaux académiques) deviennent problématiques, tant que le plan pratique que méthodologique. L’analyse des bases d’incidents constitue une avancée, mais sa portée est limitée dans la pratique et conduit le plus souvent à sous-estimer le montant de la perte opérationnelle si seuls les coûts associés à la résolution ou à la couverture du risque opérationnel – comme, par exemple, l’élaboration d’une procédure de validation du dossier de crédit ou le temps passé par des équipes à résoudre un incident informatique – sont enregistrés comme perte financière, et non les coûts liés aux pertes financières à l’issue de la réaction en chaîne – tel le non-remboursement du crédit par le client défaillant –, puisque ces derniers, pour être évalués, nécessitent parfois une période d’observation de plusieurs années.
L’approche retenue par les dispositions relatives au contrôle interne dans les modifications successives du règlement 97-02 est très différente de celle de Bâle II : elle vise à traiter le risque opérationnel « à la source », en ciblant avant tout ses causes (Nouy, 2006).
Le risque opérationnel : nouvel enjeu du contrôle interne
Le risque opérationnel est la cause d’un risque métier
Professionnels et chercheurs s’accordent pour dire qu'en raison de ses caractéristiques spécifiques par rapport aux risques métiers, le risque opérationnel n’est pas un risque comme les autres :
- les risques opérationnels ne produisent pas de chiffre d’affaires ;
- ils sont subis et doivent donc être éliminés (Garabiol, 2005) ;
- leur périmètre est très large ;
- les événements de risque sont subis de façon aléatoire, ce qui suppose une évaluation qualitative et subjective de ces risques sur la base d’hypothèses de type stress test et un pilotage sans limites (Amadieu, 2006) ;
- ils ne résultent pas d’une décision volontaire ;
- ils sont diffus, transversaux aux métiers, multiformes, et ont des manifestations difficiles à isoler ;
- la mesure de ces risques n’existe pas a priori (Nouy, 2006).
Il devient alors pertinent, en s’appuyant sur l’analyse cyndinique détaillée plus haut, de considérer le risque opérationnel comme la cause d’un risque métier. Pour le risk manager, la cause opérationnelle constitue néanmoins un risque à part entière, qu’il convient de gérer. L’analyse du risque nécessite d’identifier la raison pour laquelle un risque métier pourrait se réaliser. En remontant la succession d’événements de risque, conséquences des uns et causes des autres, les causes opérationnelles peuvent alors être de deux natures différentes :
- les causes externes, qui peuvent être difficilement évitées ;
- les causes internes, qui constituent l’enjeu premier des banques aujourd’hui.
La réalisation de causes externes – comme la fraude documentaire sur les dossiers de crédit, l’accident d’avion sur les locaux ou l’absentéisme des équipes commerciales pour cause d’épidémie de grippe – interagit avec le processus métier dont la mise en œuvre n’est plus garantie. Les causes internes correspondent à une défaillance interne opérationnelle qui, lorsqu’elle se réalise, ne permet plus d’assurer la maîtrise du risque métier par la bonne réalisation du processus. C’est le cas lorsque l’absence d’un homme clé rend impossible l’aboutissement du processus de reporting réglementaire, lorsqu’une panne du SI empêche le montage de dossiers de crédit ou lorsqu’une erreur humaine transmet sur les marchés un ordre d’achat en lieu et place d’un ordre de vente.
Dès lors, comment le contrôle interne peut-il contribuer à sécuriser en amont le dispositif de risk management mis en place pour gérer les causes opérationnelles des risques métiers ?
Les dispositifs de contrôle interne pour gérer les causes des risques métiers
La gestion du risque métier à proprement parler est l’affaire du top management qui définit en premier lieu la stratégie de l’établissement sur la base de considérations financières : la stratégie intègre les opportunités commerciales et les coûts afférents, y compris en matière de risques sous-jacents. L’appétit pour le risque définit ensuite le niveau d’investissement nécessaire dans le dispositif de risk management, sous forme d’arbitrage par rapport à une logique d’acceptation du risque et de consommation de fonds propres. L’aboutissement du dispositif pour chaque métier passe par l’analyse des causes internes et externes. Cela suppose d’identifier les différentes strates contributrices d’une maîtrise complète du risque, au centre de laquelle le contrôle interne joue un rôle majeur. L’introduction de la filière risque par le CRBF 97-02 en 2010 est sur ce point fondamentale. L’objectif final du contrôle interne consiste à apprécier l’adéquation du dispositif de risk management avec le niveau de risque accepté par l’établissement : l’objectif intermédiaire fondamental pour y parvenir, qui relève du contrôle périodique, consiste à s’assurer de la bonne articulation des éléments constitutifs du dispositif de sécurisation présentés par les trois volets suivants : détecter l'événement du risque, protéger la réalisation de la cause et prévenir la survenance de la cause.
Détecter l’événement du risque
Sur la base de l’appétit au risque déterminé par le top management, le dispositif de contrôle interne doit permettre de détecter la réalisation de la réaction en chaîne, et cela le plus tôt possible. La première étape consiste à déployer un tableau de bord transverse aux métiers dont la réalisation et le pilotage relèvent de la responsabilité du contrôle permanent, en tant qu’organe central non opérationnel. L’étude des indicateurs clés de risque (KRI) doit permettre d’identifier la réalisation de risques majeurs avant la constatation de la perte financière : elle suppose la définition et le suivi de seuils de tolérance au risque, en lien avec les seuils d’acceptation définis par la filière risque au regard de l’article 17 du CRBF 97-02, modifié en 2010. La deuxième étape consiste à identifier la réalisation des causes en amont, susceptibles d’initier la réaction en chaîne : le suivi des causes est effectué par le contrôle permanent pour les causes internes, éventuellement par la filière risque pour les causes externes, notamment lorsqu’elles sont d’ordre économique. L’identification de ces causes internes aux risques métiers est un gage de l’amélioration des deux volets suivants propres au rôle assigné au dispositif de contrôle interne. Celui-ci vise à réduire ou supprimer le risque, en réduisant l’exposition au risque et en limitant l’impact de sa réalisation (Amadieu, 2006), ce que nous nommerons respectivement prévenir et protéger.
Protéger la réalisation de la cause
Afin d’éviter ou de limiter la propagation du premier événement de risque sur l’ensemble de la réaction en chaîne lorsque celle-ci est initiée, il convient de déployer un dispositif de protection. Celui-ci contient des procédures spéciales pour mettre en œuvre un plan d’actions en urgence et optimiser la qualité et la réactivité des services opérationnels. Au titre des processus de protection mis en œuvre lorsque la réaction en chaîne a débuté, afin de limiter son impact, on trouve :
- la constitution d’un vivier d’intérimaires qui favorise un recrutement rapide en cas de sous-effectif soudain ;
- les vigilances constantes mises en place sur les systèmes afin d’identifier les transactions atypiques et réagir face à un début de fraude ;
- la reprise d’historique du score d’octroi sur une période déterminée pour permettre d’utiliser le délai de rétractation en faveur de l’établissement en cas d’anomalies, etc.
Le dispositif est du ressort des responsables opérationnels dont l’expertise permet d’identifier précisément les causes de réalisation de leurs risques majeurs. Ce volet renvoie aux bonnes pratiques de place, tant en termes d’organisation, de contrôle et de documentation et peut, dans une certaine mesure, participer des projets d’efficacité opérationnelle pour la gestion de crise.
Prévenir la survenance de la cause
Enfin, dans le but d’éviter l’initiation même de la réaction en chaîne, il convient de prévenir la survenance des causes sur lesquelles l’établissement peut prétendre avoir une influence, essentiellement les causes internes. La mise en place du dispositif de prévention relève également des services opérationnels. Ce dispositif peut se traduire de multiples manières (voir Tableau), selon la cause :
- dispositif de délégation d’octroi de crédit ;
- blocage informatique lorsque l’ordre de Bourse n’est pas cohérent avec la situation du compte ;
- sécurisation des accès aux outils de gestion ;
- processus de validation spécifique ;
- refus d’une transaction par carte bancaire lorsque deux demandes d’autorisation sont effectuées à quelques minutes d’intervalle à plusieurs centaines de kilomètres, etc.
Conclusion
Les contributions académiques ou professionnelles en matière de risque opérationnel portent soit sur les difficultés de traitement des risques opérationnels au regard de la réglementation bâloise (Nouy, 2006) et de leur gestion, souvent dans une approche quantitative (Maurer, 2008), soit sur les spécificités du système de contrôle interne dans le cadre du règlement CRBF 97-02 et des conditions de son efficacité (Lamarque, Maurer, 2009). Le but ici est d’établir le lien entre les deux et de montrer en quoi les dispositifs de contrôle interne sont pertinents pour gérer le risque opérationnel. Si certains auteurs s’inscrivent dans la logique de Bâle II visant à analyser sur le plan méthodologique le risque opérationnel comme un risque métier (Amadieu, 2006), notre approche s’en écarte. Inspirée de l’analyse cyndinique, qui met en évidence l’imbrication des événements de risque entre eux, elle vise à concevoir le risque opérationnel comme la cause de réalisation d’un risque métier.
