L’introduction par Bâle II du risque opérationnel a ouvert la voie à une appropriation prudentielle de ces risques, au-delà des démarches qualité déjà engagées de manière plus ou moins ambitieuse par les établissements. Les évolutions successives du CRBF 97-02 depuis 2004 ont renforcé cette dynamique : la gestion du risque opérationnel s’inscrit désormais au cœur du dispositif de contrôle interne.
Les difficultés pratiques d'analyse du risque
La spécification opérationnelle d’un risque reste un exercice à géométrie variable qui dépend de l’angle d’analyse retenu. L’analyse cyndinique apportée du monde nucléaire appliquée aux organisations soumises à un impératif de haute fiabilité (HRO) nous enseigne que le risque est un objet complexe dont la réalisation dépend d’abord de la réalisation d’autres événements, et qui est elle-même à l’origine de la réalisation d’autres événements survenant par voie de conséquence, formant ainsi une réaction en chaîne. L’analyse d’un risque nécessite donc l’analyse d’une chaîne de risques, qui est constituée d’autant d’événements liés les uns aux autres pour aboutir à une conséquence finale, qui s’exprime en termes financiers, en bout de chaîne. La réalisation d’un risque de crédit dont l’événement consiste en un défaut de paiement d’un client a pour conséquence une perte financière pour l’établissement de crédit, et pour cause, lorsqu’elle est interne, une anomalie dans le SI décisionnel, un non-respect des procédures par le commercial, un mauvais pilotage et calibrage du score d’octroi… autant de causes opérationnelles.
Pour des raisons pratiques, les responsables du dispositif de risk management ont circonscrit la réaction en chaîne : les risques sont étudiés à de multiples niveaux, mais segmentés. Ainsi, les erreurs d’exécution des processus, classées pour Bâle II dans la catégorie des risques opérationnels, sont la plupart du temps traitées isolément par les projets de cartographie des risques opérationnels, alors qu’il s’agit davantage d’une cause de réalisation d’un risque métier : c’est en raison d’anomalies dans le SI que le score d’octroi ne sera pas discriminant et que la décision d’octroi sur un client défaillant aboutira à une perte financière. Pour autant, ces causes internes de réalisation du risque métier constituent un risque intrinsèque pour le propriétaire du process (risque opérationnel pour le responsable du SI dans le premier cas et pour le responsable du front office dans le second), alors que les conséquences représentent un risque métier pour le responsable du risque de crédit ou le responsable de la salle de marché. De la même manière, la réalisation d’une fraude constitue une cause externe pour un risque de crédit par exemple, bien qu’elle soit souvent comprise comme un risque opérationnel indépendant du processus.
L’interprétation de Bâle II
Par ailleurs, dans sa définition du risque opérationnel, Bâle II indique « le risque de pertes résultant d’une inadaptation ou d’une défaillance imputable à des procédures, personnes et systèmes internes, ou à des événements extérieurs » mais exclut les risques stratégiques et de réputation en raison des difficultés techniques de leur mesure. Pourtant, ces risques trouvent souvent leur origine dans des causes similaires à celles du risque opérationnel (Nouy, 2006).
La classification Bâle II est donc porteuse de confusion. Pour des raisons techniques de quantification, le parti pris du Comité de Bâle est de restreindre le risque opérationnel à ses seules conséquences financières en identifiant les pertes financières opérationnelles, c’est-à-dire les effets des risques opérationnels (Nouy, 2006). Or, toutes les conséquences du risque opérationnel ne prennent pas nécessairement la forme de pertes financières immédiates puisqu’elles peuvent impacter le risque métier qui lui-même pourra entraîner une perte financière, sur un horizon temporel parfois étendu. Il en découle que l’évaluation des pertes financières, et par conséquent la pertinence et l’utilité des bases historiques de pertes opérationnelles pour aider à des décisions de gestion et se couvrir au sein d’un appétit de risque défini (sur lesquelles la plupart des travaux académiques s’appuient) deviennent problématiques sur le plan pratique et méthodologique. L’analyse des bases d’incidents constitue une avancée mais sa portée est limitée dans la pratique et conduit le plus souvent à sous-estimer le montant de la perte opérationnelle si seuls les coûts associés à la résolution ou à la couverture du risque opérationnel sont enregistrés comme perte financière, et non les coûts liés aux pertes financières à l’issue de la réaction en chaîne.
La contribution du contrôle interne à la gestion du risque opérationnel.
Le risque opérationnel est la cause d’un risque métier
Il devient pertinent, en s’appuyant sur l’analyse cyndinique détaillée précédemment, de considérer le risque opérationnel comme la cause d’un risque métier. Pour le risk manager, la cause opérationnelle constitue néanmoins un risque à part entière, qu’il convient de gérer. En remontant la succession d’événements de risque, conséquence des uns et cause des autres, la cause opérationnelle peut être de deux natures différentes : les causes externes (fraude documentaire sur les dossiers de crédit, accident d’avion sur les locaux), qui peuvent difficilement être évitées, et les causes internes (défaillance interne opérationnelle, panne du SI, erreur humaine), qui constituent l’enjeu premier des banques aujourd’hui. Dès lors, comment le contrôle interne peut-il contribuer à sécuriser en amont le dispositif de risk management mis en place pour gérer les causes opérationnelles des risques métiers ?
Les dispositifs de contrôle interne pour gérer les causes des risques métiers
La gestion du risque métier à proprement parler est l’affaire du top management qui définit en premier lieu la stratégie de l’établissement sur la base de considérations financières (opportunités commerciales et coûts afférents). L’appétit pour le risque définit ensuite le niveau d’investissement nécessaire dans le dispositif de risk management. L’aboutissement du dispositif pour chaque métier passe par l’analyse des causes internes et externes. Cela suppose d’identifier les différentes strates contributrices d’une maîtrise complète du risque, au centre de laquelle le contrôle interne joue un rôle majeur. L’introduction de la filière risque par le CRBF 97-02 en 2010 est sur ce point fondamentale. L’objectif final du contrôle interne consiste à apprécier l’adéquation du dispositif de risk management avec le niveau de risque accepté par l’établissement : l’objectif intermédiaire fondamental pour y parvenir, du ressort du contrôle périodique, consiste à s’assurer de la bonne articulation des éléments constitutifs du dispositif de sécurisation présentés par les trois volets suivants.
Détecter l’événement du risque
Sur la base de l’appétit au risque déterminé par le top management, le dispositif de contrôle interne doit permettre de détecter le plus tôt possible la réalisation de la réaction en chaîne. La première étape consiste à déployer un tableau de bord transverse aux métiers dont la réalisation et le pilotage relèvent de la responsabilité du contrôle permanent, en tant qu’organe central non opérationnel. L’étude des indicateurs clés de risque (KRI) doit permettre d’identifier la réalisation de risques majeurs avant la constatation de la perte financière : elle suppose la définition et le suivi de seuils de tolérance au risque, en lien avec les seuils d’acceptation définis par la filière risque au regard de l’article 17 du CRBF 97-02 modifié en 2010. La deuxième étape consiste à identifier la réalisation des causes en amont, susceptibles d’initier la réaction en chaîne : le suivi des causes est effectué par le contrôle permanent pour les causes internes, éventuellement par la filière risque pour les causes externes, notamment lorsqu’elles sont d’ordre économique. L’identification de ces causes internes aux risques métiers est un gage de l’amélioration des deux volets suivants propres au rôle assigné au dispositif de contrôle interne.
Protéger la réalisation de la cause
Afin d’éviter ou de limiter la propagation du premier événement de risque sur l’ensemble de la réaction en chaîne, il convient de déployer un dispositif de protection. Celui-ci contient des procédures spéciales pour mettre en œuvre un plan d’actions en urgence. La constitution d’un vivier d’intérimaires qui favorise un recrutement rapide en cas de sous-effectif soudain, les vigilances constantes mises en place sur les systèmes afin d’identifier les transactions atypiques, la reprise d’historique du score d’octroi sur une période déterminée pour permettre d’utiliser le délai de rétractation en faveur de l’établissement en cas d’anomalies, etc. constituent autant de processus de protection mis en œuvre lorsque la réaction en chaîne a débuté, afin de limiter son impact. Le dispositif est du ressort des responsables opérationnels dont l’expertise permet d’identifier précisément les causes de réalisation de leurs risques majeurs.
Prévenir la survenance de la cause
Enfin, dans le but d’éviter l’initiation même de la réaction en chaîne, il convient de prévenir la survenance des causes sur lesquelles l’établissement peut prétendre avoir une influence : les causes internes essentiellement. La mise en place du dispositif de prévention relève également des services opérationnels. Ce dispositif peut se traduire de multiples manières selon la cause : délégation d’octroi de crédit, blocage informatique lorsque l’ordre de bourse n’est pas cohérent avec la situation du compte, sécurisation des accès aux outils de gestion, processus de validation spécifique, refus d’une transaction par carte bancaire lorsque deux demandes d’autorisation sont effectuées à quelques minutes d’intervalle à plusieurs centaines de kilomètres, etc.
Une approche pragmatique
Le tableau 1 identifie les dispositifs de gestion possibles pour gérer les causes du risque de crédit. Il s’agit de montrer en quoi les dispositifs de contrôle interne sont pertinents pour gérer le risque opérationnel. Si certains auteurs s’inscrivent dans la logique de Bâle II visant à analyser sur le plan méthodologique le risque opérationnel comme un risque métier (Amadieu, 2006), notre approche s’en écarte. Inspirée de l’analyse cyndinique qui met en évidence l’imbrication des événements de risque entre eux, elle vise à concevoir le risque opérationnel comme la cause de réalisation d’un risque métier.
Bibliographie.
D. Amadieu (2006), « Éléments essentiels pour une bonne gestion du risque opérationnel », Revue d’économie financière, juin, Vol. 84, pp. 93-103.
D. Nouy (2006), « Le champ du risque opérationnel dans Bâle II et au-delà», Revue d’économie financière, Juin, Vol. 84, pp. 11-24.
