Les banques ont pris l’habitude de qualifier le niveau de risque opérationnel en termes purement monétaires, notamment dans les exercices de cartographie ; ce choix s’explique aisément, car la réglementation Bâle II et la doctrine les y poussent. En outre, tout le monde comprend facilement la notion de montants de pertes.
Avec le temps, la recherche d’un pilotage effectif des risques amène à élaborer d’autres cartographies thématiques. On s’aperçoit alors que le critère de pertes monétaires n’est pas pertinent pour mesurer toutes les natures de risques, en particulier les risques de non-conformité : il faut donc trouver un système de cotation plus adaptée, plus « qualitative ». Notons que les équipes de contrôle permanent et de contrôle périodique utilisent déjà des cotations de ce type.
Sans abandonner pour autant l’étalon monétaire, on est donc logiquement amené à souhaiter une grille de cotation commune à tous. Elle faciliterait la compréhension par les métiers, la direction générale et… les collaborateurs risques-contrôles eux-mêmes !
Plusieurs cartographies des risques
Pendant longtemps, beaucoup d’établissements se sont contentés de n’élaborer qu’une seule cartographie des risques : celle des risques opérationnels. Ce choix correspond à la vision de Bâle II qui regroupe dans une catégorie unique « risques opérationnels », ce que les textes français ventilent entre plusieurs risques différents. C’est ainsi que l’article 4 du règlement 97/02 distingue au minimum le risque juridique et le risque de non-conformité, puis l’article 11-7, le risque lié à la lutte contre le blanchiment de capitaux et au financement du terrorisme.
Aujourd’hui, il devient difficile de ne pas élaborer une cartographie spécifique aux risques de non-conformité. D’ailleurs, l’ACPR réclame un tel document au démarrage de chaque mission de contrôle sur place. Les praticiens et les utilisateurs de cartographie savent aussi qu’il devient vite illisible de faire cohabiter dans un même document des natures de risque aussi différentes que le risque d’erreur et d’inadaptation des organisations, avec le risque de non-respect de la réglementation, ou de ne pas appliquer des décisions des organes de décision !
Enfin, construire une cartographie n’est évidemment pas une fin en soi, encore faut-il qu’elle soit utile et serve dans le pilotage effectif des risques. On voit hélas encore trop souvent, des cartographies de risques élaborées « en chambre » ou qui se retrouve reléguée au placard, ne sortant très périodiquement que pour des besoins de communication.
Dans une organisation dans laquelle on attribue le pilotage de chaque famille de risque à un « pilote » de risque clairement désigné (pilote qui a la tâche d’animer l’ensemble du dispositif de gestion de ce risque et du contrôle permanent associé), il devient logique de lui permettre d’exploiter sa propre cartographie. Tout en ayant l’obligation stricte de respecter des principes structuraux communs, celle-ci pourra par exemple avoir le niveau de granularité que le pilote de risque estimera utile, même très fin.
Dans la cible, la cartographie unique « à tout faire » est donc remplacée par un ensemble de cartographies regroupées en deux niveaux, chacun avec un objectif distinct (voir Encadré 1). Les cartographies sont liées aux contrôles permanents permettant de contrôler ces risques.
Selon le modèle de fonctionnement, on pourra par exemple créer une cartographie liée à l’externalisation pour les petits établissements ayant recours massivement à la sous-traitance, ou une cartographie du risque de fraude pour les établissements en ligne, sans réseau, etc. (voir Encadré 2).
Le critère monétaire n’est pas adapté aux risques de non-conformité…
Le critère de pertes monétaires se révèle à l’évidence inadapté pour mesurer les risques de non-conformité. En premier lieu parce que la non-conformité recouvre une grande variété de notions :
- le respect des textes et des normes professionnelles ;
- les aspects déontologiques ;
- l’atteinte à la réputation ;
- le respect des instructions données par les organes de direction ;
- les pertes monétaires significatives (seul cas où l’étalon monétaire s’applique naturellement).
Certains considèrent l’amende (ou condamnation pécuniaire) comme l’étalon à utiliser. Là aussi, sauf dans les cas heureusement peu fréquents des sanctions « extrêmes » infligées par l’OFAC depuis 2 ans, elle ne représente qu’une petite partie des impacts négatifs pour une banque. Le montant de l’amende devrait être utilisé plutôt comme un support à une cotation plus globale.
…et ne reflète pas complètement le risque opérationnel
Le critère monétaire ne reflète d’ailleurs pas complètement le risque opérationnel stricto sensu. Un défaut d’adaptation d’une organisation peut donner lieu à une perte directe et à des pertes imputables. Mais comment appréhender les pertes indirectes ou alors les pertes d’opportunité, c'est-à-dire le gain auquel on aurait pu prétendre sans ce problème ? Les montants affichés dans les cartographies ou dans les collectes de pertes sont donc sous-estimés, sans parler des incidents non identifiés…
De plus, l’impact monétaire n’est qu’une conséquence (ou plutôt l’une des conséquences) d’une prise de risque et non la cause. Il ne reflète pas ou que (très) partiellement l’efficacité d’un processus opérationnel ou des mesures de limitation de risques.
N’utilisons donc le critère monétaire que pour ce qu’il est et pour alimenter les modèles quantitatifs permettant de calculer les besoins en fonds propres au titre de la méthode AMA de Bâle.
Par ailleurs, dans les exercices de cartographie des risques et dans les reportings de suivi des risques, la doctrine voudrait que l’on définisse également des KRI (Key Risk Indicators) en même temps que les montants de pertes. Dans les faits, il n’est pas aisé de trouver des données quantitatives ou ratios véritablement pertinents et il faut donc les considérer plutôt comme des compléments secondaires dans le suivi des risques.
Des grilles de cotation du risque de conformité qui restent disparates
Les contrôleurs permanents de 2nd niveau et les auditeurs ont déjà l’habitude d’utiliser des cotations qualifiant l’importance des constats-recommandations formulés ou sur le degré de conformité du processus contrôlé dans son ensemble. Les premiers évaluent principalement le degré de respect des procédures, alors que les seconds s’intéressent davantage à la qualité du dispositif de contrôle interne en place.
Le premier constat est que souvent ces deux corps de contrôle ne se coordonnent pas et n’utilisent pas la même grille de cotation : ce qui ne facilite pas la lecture des rapports, tant pour les managers métiers que pour la direction générale.
Le second constat est que la définition des cotations utilisées n’est souvent pas assez explicite : quels sont les critères permettant de coter une situation en orange plutôt qu’en rouge (dans le cas d’une grille de couleurs vert-bleu-orange-rouge) ? Et force est de constater que beaucoup de contrôleurs et d’auditeurs ont la main lourde. Qui n’a pas remarqué que les rapports comportaient de très nombreux constats-recommandation en rouge ? C'est-à-dire le niveau le plus grave ou le plus prioritaire. On ne peut que regretter cette avalanche qui noie les points réellement importants avec les points plus secondaires, les causes avec les conséquences. Même en matière de (non-)respect d’un texte réglementaire, il y a des niveaux de gravité différents quand on cherche à être pragmatique.
Au global, quelle que soit la fonction exercée – auditeur, contrôleur permanent, conformité, Risk Manager –, on travaille dans un seul et même but : la maîtrise des risques, chacun avec une matière différente. Il est donc logique de vouloir rechercher une cotation des risques en commun. Pas forcément exactement la même grille pour tous, mais au moins avec des tables de correspondance.
Proposition de grille de cotation qualitative commune
Cette grille de cotation sert à la fois à qualifier un niveau de risque (de toute nature) et à la qualité d’une organisation du point de vue de la maîtrise des risques. Elle comporte 4 niveaux (de A à D) avec un 5e niveau (E) réservé aux alertes très graves (voir Encadré 3).
Jusqu’à un passé récent, une grille à 4 niveaux aurait pu suffire pour coter les risques d’une banque. Mais depuis 2 ans, on relève des non-conformités qui se traduisent par des amendes records infligées par les autorités américaines (OFAC), pouvant être associées ou non à une interdiction temporaire d’exercer. Lorsque ces amendes atteignent une somme telle que 9 milliards de dollars comme pour le cas de BNP-Paribas, elles sont à même de faire descendre les plus grandes banques en dessous des ratios planchers Bâle III. Par ailleurs, comment un établissement d’ambition internationale peut-il survivre à une interdiction de traiter en USD pour une période même temporaire de 6-12 mois ? Ceci amène à créer une 5e position « E » réservée aux cas critiques. Les actions correctives dépassent le niveau local et touche à la stratégie ou au modèle de fonctionnement (voir Encadré 4).
Lors de la lecture des recommandations ou des résultats des cartographies par les organes de direction, cette méthodologie permet de mieux appréhender la réalité des risques ainsi que les déficiences du dispositif de contrôle interne. Elle nécessite par contre une implication forte, voire une certaine… prise de risque de la part des responsables risques et contrôles.
Comment utiliser cette grille de cotation qualitative ?
Dans l’approche proposée ici, on utilise donc une cotation double pour toutes les catégories de risques :
- une cotation qualitative selon la grille ci-contre qui affiche le niveau global de maîtrise de risque d’un processus ;
- une cotation par les pertes, qui lui est obligatoirement associée, qui donne les conséquences monétaires quand elles existent ;
- les KRI (Key Risk Indicators) et le suivi des incidents ou des réclamations sont des compléments dans une optique d’illustration et comme des indicateurs instantanés.
- les sources internes : le résultat des cotations précédentes, les résultats et les cotations issus des contrôles permanents (de 1er comme de 2nd niveau), les résultats du contrôle périodiques, les incidents identifiés et les réclamations ;
- les sources externes, notamment pour appréhender les risques de non-conformité réglementaires et par rapport aux pratiques de place. Il est ici nécessaire de « sortir » de la banque : la veille réglementaire, les échanges avec le superviseur, les échanges avec les confrères, les formations et conférences externes.
Ainsi la mise en d’une gestion efficace des risques demande un investissement certain en organisation et en moyens pour que celle-ci ne soit pas que la réponse à une injonction réglementaire, mais bien un outil de pilotage et de prévention des risques dans un établissement.
