Depuis l’entrée en application des accords de Bâle II en 2007, la gestion des risques opérationnels s’est largement développée. Chaque année, les bases « incidents » se sont enrichies de nouvelles chroniques et la connaissance intime du profil de risque opérationnel des institutions financières s’est approfondie. Les incidents ont fait l’objet de plans d’action pour prévenir leur récurrence et sécuriser les processus. Des indicateurs clés de risques (KRI) ont été mis en place, afin de suivre l’évolution de l’exposition aux risques les plus critiques.
Le lien entre risques et contrôle permanent s’est structuré. Les contrôles de niveau 2, destinés à vérifier l’efficacité des dispositifs de maîtrise des risques, se sont renforcés, bien que la formalisation des contrôles de niveau 1 assurés par les premières lignes de défense reste inégale et le plus souvent partielle. La gouvernance a développé une vision d’ensemble des enjeux du risque opérationnel et du contrôle permanent. Les équipes risques et contrôle permanent ont été le plus souvent rapprochées pour exploiter leurs synergies et gagner en lisibilité auprès des métiers, au travers de méthodologies « sans coutures » et d’une comitologie unifiée.
Finalement, l’ensemble des parties prenantes a gagné en maturité. La gouvernance a compris le gisement d’opportunités que représente l’analyse des risques opérationnels pour l’efficience opérationnelle, au travers de la prévention des risques de fréquence. Les métiers ont développé une « culture risque » en apprenant des défaillances opérationnelles, dans une démarche d’amélioration continue des processus. Les équipes de gestion des risques opérationnels ont gagné en indépendance et jouent un rôle de conseil auprès des métiers dans la sécurisation des processus. Mais aussi un rôle d’alerte pour favoriser des arbitrages éclairés. S’agissant de la mesure des risques d’intensité, l’analyse de scénarios s’est développée afin d’adosser des stratégies de réduction ou de transfert du risque à l’assurance.
Les deux approches du cadre
de tolérance
Cependant, les évaluations des risques opérationnels restent en silos, par métier : leur manque d’homogénéité rend souvent difficile l’agrégation des risques au niveau d’une entité ou d’un groupe. Au niveau unitaire, les incidents et les défaillances de contrôle révèlent des zones de fragilité de l’organisation qui conduisent à définir des plans d’action dans une logique d’amélioration continue des dispositifs. Cependant, à l’échelle de l’organisation, les reportings risques présentés à la gouvernance conduisent parfois à une certaine frustration :
– l’addition de plans d’action provoque un effet « catalogue » ;
– le raisonnement par thématique de risque peine à hiérarchiser objectivement les enjeux ;
– la sélection de quelques enjeux ponctuels par jugement d’expert est source de discussions par manque de critères objectifs.
Au surplus, le lien entre ces travaux et le capital immobilisé face au risque opérationnel au titre du pilier 1 reste ténu. La modélisation des risques opérationnels introduite dans le cadre des approches avancées de mesure du risque de Bâle II (Advanced Measurement Approach – AMA) ne sera pas poursuivie pour le calcul du capital réglementaire avec l’achèvement de Bâle III. Ces modèles sont considérés comme peu robustes, trop subjectifs et susceptibles d’introduire des disparités de traitement entre institutions financières ; ils sont également difficiles à maintenir. Le projet visant à prendre en compte les historiques de pertes au niveau du calcul d’exigences en fonds propres a été également abandonné.
C’est pourquoi la gestion des risques opérationnels doit entrer dans une nouvelle phase, par le truchement du pilier 2 : promouvoir le cadre de tolérance au risque opérationnel comme outil d’aide à la décision pour le management. Afin de protéger le résultat et soutenir le développement de l’entité, l’allocation de budgets de risques par processus permet de piloter le niveau de perte issu du risque opérationnel toléré par la gouvernance. Afin d’assurer la survie de l’institution face aux risques d’intensité, la vérification de l’adéquation des fonds propres aux scénarios de risques extrêmes justifie le financement d’actions de prévention.
Il s’agit de faire entrer le risque opérationnel dans le cadre commun d’appétence et de gestion des risques au même titre que les risques financiers : le risk appetite framework.
Définir un niveau de risque cible pour assurer la protection du résultat
Le premier objectif du cadre de tolérance au risque consiste à limiter la récurrence des évènements de fréquence. Les incidents qui se produisent à intervalles réguliers et génèrent des pertes à chaque occurrence sont le reflet de processus courants mal maîtrisés. L’évaluation économique de ces incidents est clé afin d’en valoriser l’impact financier, mais aussi le manque à gagner ou la perte d’opportunité.
Le rôle de la gouvernance est déterminant pour fixer une limite globale de pertes cumulées qui révèle le niveau de tolérance au risque opérationnel de l’institution. Il est alors possible, au regard des historiques de pertes avérées, de répartir cette limite globale en budgets de risque opérationnel à l’échelle des processus. Certaines activités récentes seront plus exposées au risque que d’autres, du fait de processus moins maîtrisés, mais pourront être en contrepartie génératrices de croissance ou de marges plus élevées. À l’inverse, d’autres activités, plus matures avec des processus industrialisés, devront générer des niveaux de pertes financières et d’impacts clients proportionnellement plus faibles. L’allocation des budgets de risque à de grandes catégories de risques et de macroprocessus rend possible la fixation d’objectifs de pertes courantes maximales et le suivi de toute déviation. Cette différenciation permet de prioriser les investissements pour sécuriser les processus et adosser le plan de contrôle permanent.
La démarche consiste à décliner des limites de pertes à l’échelle des processus clés de l’institution, assorties de seuils d’alerte. La limite globale sera calibrée à partir d’une moyenne des pertes historiques enregistrées corrigée, le cas échéant, des pics de pertes liés à des évènements d’intensité survenus au cours des dernières années afin de refléter la perte attendue. Elle peut également être calculée à partir du quantile à 50 % de la distribution d’impacts des incidents sur les 10 dernières années représentant la perte attendue. Une marge de prudence pourra être appliquée à ce montant de perte, afin de prendre en compte l’évolution des incidents anticipée à l’horizon un an.
L’allocation de la limite globale par processus clé doit tenir compte des décisions d’investissement dans l’amélioration continue des dispositifs de maîtrise des risques ou dans le renforcement du contrôle permanent, afin de refléter la baisse attendue du niveau des pertes de risque opérationnel.
Assurer l’adéquation du capital par rapport aux risques extrêmes
Le second objectif du cadre de tolérance au risque opérationnel vise à assurer la survie de l’institution face à la survenance de risques rares mais d’impact extrême. Ces risques sont souvent d’origine externe, comme c’est le cas des attaques cyber ou des dommages aux actifs causés par des évènements climatiques. Ce sont également des risques financiers qui, conjugués à des processus inadaptés dans certaines situations de stress, sont susceptibles de provoquer des dépassements de limites. Les impacts qui en résultent peuvent être des pertes de marché ou de crédit massives dont l’évènement déclencheur est un processus d’encadrement des risques défaillant. Il s’agit de risques frontières qu’il est indispensable d’appréhender dans les bases de pertes. Dans un monde où tous les risques d’une institution financière font l’objet d’un processus d’encadrement rigoureux, le risque résultant de défaillances opérationnelles au sein desdits processus est la principale source de pertes extrêmes.
La réglementation prudentielle de Bâle III a abandonné les modèles internes et préconise désormais une méthode d’évaluation du besoin de fonds propres réglementaires fondée sur des indicateurs d’activité. Or les évènements de risque extrême, qui font partie du champ de la perte inattendue, ne sont pas uniquement corrélés aux indicateurs d’activité. C’est le cas par exemple des sinistres en responsabilité civile professionnelle dont l’impact peut être d’une amplitude très largement supérieure au niveau d’activité. Pour ce type de risques le processus d’évaluation interne de capital économique prend tout son sens.
Ces risques dits « d’intensité » ont vocation à être identifiés et mesurés au travers de scénarios de faible probabilité et d’impact extrême. Il s’agit de déterminer la valeur du sinistre maximum probable révélée par le scénario sous-jacent au risque. Il est dès lors possible d’en déduire une stratégie de gestion du risque : prévention, limitation de l’impact ou transfert à l’assurance.
Pour adapter les seuils de tolérance au risque, il peut être utile de distinguer les risques endogènes et exogènes. Les risques endogènes sont directement causés par des défaillances de processus internes, sur lesquels un renforcement des contrôles a un impact direct. Les risques exogènes sont au contraire subis et font l’objet de dispositifs de maîtrise qui requièrent des investissements plus importants. Par conséquent, le niveau de tolérance aux risques exogènes peut être plus élevé. Par exemple, le non-respect d’une réglementation est un risque pour lequel l’institution pourrait avoir un niveau de tolérance plus faible qu’un risque de dommage aux actifs. La distinction des risques assurables et non assurables permet également de soutenir une réflexion sur le niveau de rétention adapté et ainsi d’ajuster les couvertures et franchises. Pour les risques non assurables, le vecteur essentiel de réduction du risque et l’amélioration des dispositifs de maîtrise des risques, représentant souvent des investissements importants. Il conviendra donc de piloter des arbitrages entre les niveaux de pertes potentielles extrêmes acceptables et les capacités d’investissement dans les dispositifs de prévention et de protection.
Le dispositif de tolérance au risque doit donc permettre de fixer une limite d’impact de scénarios d’intensité qui conditionne le traitement du risque. Une marge d’erreur peut être prise en compte car l’ampleur des scénarios est souvent limitée par l’imagination des experts ! S’agissant de scénarios de très faible occurrence, moins d’une fois tous les dix ans, il faut à l’échelle de l’institution considérer le risque, de survenance conjuguée de plusieurs scénarios extrêmes simultanément. La mesure de l’impact financier cumulé de la conjonction de 3 à 5 scénarios, selon la taille et la complexité de l’institution, représente le niveau de fonds propres économiques à allouer au risque opérationnel.
