Les accords de Bâle 2 introduisent en 2004 des exigences en matière de gestion du risque opérationnel. Cette innovation s’accompagne alors d’une vaste réflexion sur les bonnes pratiques en matière de gestion des risques opérationnels. L’attention est portée sur les processus de maîtrise des risques opérationnels : impliquer le management dans la supervision des risques opérationnels, doter les établissements des ressources suffisantes et établir des processus documentés.
Les bonnes pratiques recommandent d’établir des approches bottom-up pour identifier et mesurer les risques opérationnels sur la base des processus. Le recensement des incidents opérationnels est depuis généralisé et les pertes opérationnelles font l’objet d’un suivi régulier, reporté au moins deux fois par an à la gouvernance.
L’exigence de capital réglementaire au titre du pilier 1 peut être déterminée de façon forfaitaire par pondération du produit net bancaire (PNB) et le niveau de pondération varie selon l’approche retenue par l’établissement – indicateur de base ou méthode standard – et la ligne métier considérée. L’esprit des accords de Bâle 2 vise à promouvoir des exigences de fonds propres sensibles au profil de risque de chaque établissement, conduisant ainsi à la reconnaissance de modèles internes pour déterminer l’exigence de capital réglementaire au titre du risque opérationnel – approche par les mesures avancées (AMA).
Les dispositifs en place traduisent l’atteinte d’un palier de maturité mais peinent à procurer une vision globale du risque potentiel et des zones de vulnérabilité. La qualité des données des bases de pertes est hétérogène et le risque opérationnel, au travers des risques de défaillance des processus d’encadrement des risques financiers, représente désormais une source essentielle de pertes financières – risques frontières, comme l’a démontré la crise financière de 2008-2009.
Des méthodes d’évaluation à repenser
Les méthodes d’évaluation du capital réglementaire ne donnent plus satisfaction : les méthodes forfaitaires paraissent simplistes et ne sont pas sensibles au profil de risque de l’établissement, alors que les modèles internes sont réputés difficiles à auditer par les superviseurs et que leur diversité compromet la comparabilité des exigences de fonds propres entre les établissements. Ils restituent en outre de façon imparfaite les conséquences de risques de non-conformité ou de conduite, dont les conséquences ne s’apprécient pas seulement sur le plan financier.
La proposition du Comité de Bâle de 2017 consiste à établir une méthode d’évaluation du capital unique et fondée sur deux composantes :
– une composante « indicateur d’activité » (Business Indicator Component, BIC), dont le calcul est approfondi par rapport à l’approche forfaitaire de Bâle 2, associée à une exigence de capital croissante avec la taille de l’établissement ;
– une composante fondée sur l’historique de pertes internes sur dix ans (Internal Loss Multiplier, ILM) et elle-même croissante avec le montant des pertes avérées, avec des mécanismes d’exclusion lorsque l’établissement sait établir une amélioration de son profil de risque.
La sensibilité de l’exigence de fonds propres au profil de risque de l’établissement s’exerce ainsi au moyen de l’ILM, en substitution aux modèles internes.
Au titre du pilier 1, au sein de l’Union européenne, CRR3 ne retient toutefois que l’indicateur d’activité et neutralise l’ILM. Le BIC tient compte de différentes sources de revenus (ou pertes), notamment :
– produits d’intérêts de l’établissement provenant de tous les actifs financiers, encours brut total des prêts, des avances, des titres porteurs d’intérêts et produits de dividendes de l’établissement ;
– produits d’exploitation notamment issus des services bancaires ou de prestation de conseils et de services, y compris en tant que prestataire extérieur de services financiers ;
– revenus des portefeuilles bancaires et de négociation, notamment sur la comptabilité de couverture et sur les variations de change.
CRR3 renvoie la possibilité d’utiliser l’ILM pour le calcul du capital économique au travers du pilier 2, tout comme pourront l’être les modèles AMA (Approche de mesure avancée), d’ailleurs.
En revanche, l’ILM est pris en compte au travers de nouvelles exigences de communication au titre du pilier 3, avec des impacts opérationnels majeurs à anticiper. Les établissements dont l’indicateur d’activité dépasse 750 millions d’euros (M€) devront déclarer leurs niveaux internes de pertes annuelles pour l’ensemble des incidents supérieurs à 20 000 euros. Une attention particulière est portée aux incidents dont la perte nette est supérieure à 100 000 euros pour la communication financière et la transparence de marché.
Des clarifications bienvenues
La définition des pertes brutes et nettes est clarifiée et inclut notamment :
– l’ensemble des charges directes : les dépréciations, les règlements, les montants versés pour réparer des dommages, les pénalités, les intérêts de retard et les frais juridiques figurant au compte de résultat de l’établissement, ainsi que les dépréciations liées aux événements de risque opérationnel, les coûts du dénouement des positions sur le marché en cas de risque de marché et, pour les défaillances de processus, les pénalités, intérêts, frais de justice, etc. ;
– l’ensemble des coûts de réparation ou de remplacement engagés pour revenir à la situation antérieure.
Les bases de pertes tiennent compte des recouvrements issus d’assurances et incluent les pertes issues du risque de conduite. Elles intègrent des informations qualitatives sur les recouvrements de montants bruts de pertes ainsi que des informations décrivant les facteurs ou causes des événements de perte opérationnelle.
De nouvelles exigences de reporting au superviseur et au marché
Les bases de pertes couvrent l’ensemble du périmètre de consolidation et les pertes sont analysées par événement de risque, impliquant la capacité des outils à regrouper les incidents déclarés par diverses entités opérationnelles provenant d’un même événement. Les établissements disposent en permanence d’un calcul actualisé de la perte nette pour chaque événement de risque opérationnel sur dix ans en distinguant chaque exercice financier. En matière de risque frontière, les pertes de crédit prises en compte dans le RWA crédit sont traitées isolément, tandis que les pertes de marchés nées du risque opérationnel sont intégralement considérées comme des pertes opérationnelles.
Les exigences liées à la solidité, à la robustesse et à la performance des outils informatiques de gestion des bases de pertes sont renforcées, notamment en matière de plan d’urgence.
Enfin, une clause de revoyure est prévue pour analyser l’impact de la prise en compte des assurances afin de réduire la perte nette et assurer l’absence de biais réglementaire.
Ces nouvelles exigences de communication entraînent des impacts opérationnels à anticiper très en amont compte tenu de la profondeur d’historique requise de dix ans. Dès lors, la robustesse des processus de collecte et la qualité des données issues des bases de pertes représentent un enjeu opérationnel majeur et CRR3 renforce les pouvoirs de contrôle périodique des superviseurs.
