Le risque opérationnel impacte directement l’exigence de fonds propres des établissements financiers et entre dans le champ d’action du contrôle permanent. Les acteurs se sont approprié le sujet et, en vue de l’identification de ce risque et de sa maîtrise, ils se sont structurés en profondeur. Cependant, ils doivent faire face à l’émergence de nouvelles natures d’événements de risque et à l’essoufflement potentiel des acteurs du contrôle agissant dans le cadre de dispositifs sophistiqués.
Les contraintes réglementaires de maîtrise du risque opérationnel semblent bien assimilées par les établissements financiers. La réforme de Bâle II a imposé de se doter de dispositifs de contrôle et de maîtrise du risque opérationnel couvrant l’ensemble des métiers. Selon leurs objectifs ou contraintes et en fonction de leurs moyens, les établissements ont opté soit pour l’
Les types de risque générateurs de pertes sont identifiés ainsi que les lignes métiers les plus concernées. La base de données de pertes
- la banque de détail ;
- la banque commerciale ;
- le métier
Trading & Sales .[4]
Le rapport ORX daté de juin 2010 met en lumière l’importance sans cesse accrue de la fraude externe en tant qu’événement de risque. Aussi, si les types d’événements «
D’autres événements de risque opérationnel semblent aujourd’hui focaliser l’attention, notamment celle des régulateurs. Ils relèvent du risque juridique et touchent à la protection du respect du client ou au respect de l’application du droit de la concurrence.
Les établissements financiers nationaux se sont structurés en conséquence pour gérer le risque opérationnel. Au regard de la gestion des risques, une proximité accrue entre la gestion des risques opérationnels et la fonction conformité est avérée. Cette évolution tient à plusieurs facteurs tels que le durcissement des exigences des régulateurs, les impacts organisationnels découlant de risques subis ainsi que la gestion prospective des risques potentiels. Par exemple, les cas médiatisés de rogue trading ont entraîné une remise à plat de la sécurité des systèmes d’information internes des établissements et la revue des contrôles des limites de trading, ainsi que des mécanismes de remontée d’alertes. Chaque établissement fait ainsi évoluer son dispositif de façon récurrente. À titre d’exemple, afin de lutter contre le risque de cybercriminalité, le Crédit Agricole a adapté son dispositif organisationnel : l’établissement dispose désormais de deux unités entièrement dédiées, l’une chargée de détecter et contrecarrer les attaques virales, l’autre spécialisée dans la détection des phénomènes ayant pour but l’usurpation d’identité et le détournement de biens (voir supra). Des dispositifs complexes de gestion des risques opérationnels se sont construits, au travers d’une répartition des activités en processus et sous-processus à partir desquels des cartographies de risque ont été réalisées. Nombreux sont les établissements qui, de fait, ont établi une liaison très étroite entre les fonctions d’analyse des risques opérationnels et les fonctions de contrôle, ces dernières tendant par ailleurs à se rapprocher de plus en plus des fonctions « métiers ». En pratique, et de manière concrète, l’identification des événements de risques et la mise en application de dispositifs de maîtrise des risques ont fortement impacté les modes de fonctionnement et l’organisation des établissements. Une pratique de contrôles a priori et a posteriori est également effectuée et la bonne réalisation des contrôles est elle-même analysée de près.
Les limites de l’exercice peuvent être atteintes en raison de la nature évolutive du risque opérationnel et de la lourdeur de l’organisation mise en place. Comme évoqué précédemment, le dispositif de contrôles est à la fois mature et évolutif. Les fonctions de contrôle tendent à se structurer continuellement, en termes d’organisation, de profils et d’outils, afin d’atteindre une maîtrise qualitative et quantitative. Toutefois, au-delà des cas les plus médiatisés, tous les acteurs du contrôle ont conscience que le risque zéro n’existe pas et que la capacité des individus à tenter de contourner les dispositifs existants est illimitée. L’efficience des dispositifs doit sans cesse être remise en question, d’autant que l’industrialisation des contrôles permanents et l’exploitation d’outils parfois sophistiqués peuvent avoir des effets néfastes en termes d’efficacité. En effet, la structuration pyramidale des responsabilités et l’affinement des contrôles définissent les acteurs en charge des contrôles et les fréquences de l’exercice. Cette affectation et la normalisation qui l’accompagne sont susceptibles de créer une « banalisation » de l’exercice. La conséquence inhérente à cette répétition structurelle et fréquentielle du contrôle est le risque d’essoufflement des contrôleurs, voire de moindre attention entre deux contrôles. Par ailleurs, l’utilisation grandissante d’outils sophistiqués est susceptible de réduire naturellement la vigilance des contrôleurs. Dès lors, les missions des responsables des instances de contrôle impliquent :
- de mettre en application des contrôles inopinés en marge de ceux programmés ;
- de mobiliser sans cesse les effectifs, afin de maintenir leur curiosité ;
- d’entretenir le sens de l’analyse inhérent à tout contrôleur attentif et responsable ;
- de former des analystes et contrôleurs pluridisciplinaires recouvrant l’expertise métier et la culture du contrôle.
