Les risques opérationnels et les banques aujourd
Transcription
Les risques opérationnels et les banques aujourd
Introduction 8 1ère partie : Les risques opérationnels et les banques aujourd’hui 19 Chapitre 1 : La place des risques opérationnels vis à vis de la réglementation 21 I – Une évolution récente de la réglementation 21 II - Evolution récente qui se concrétise au niveau des fonds propres 31 Chapitre 2: L’évolution organisationnelle des banques selon les risques opérationnels 44 I – Une organisation pyramidale 44 II – La difficile prise en compte du risque opérationnel à tous les niveaux de la banque 52 Chapitre 3 : L’ontologie des risques opérationnels 57 I – Les composantes du risque opérationnel 57 II – L’absence de maîtrise du risque opérationnel : cause de nombreuses sanctions 72 2ème partie : La cartographie des risques opérationnels permet de renforcer le contrôle interne des banques 80 Chapitre 1 : Comment la cartographie des risques opérationnels permet de se doter d’un cadre commun de maîtrise des risques 85 I – La démarche de la cartographie des risques opérationnels II – « Articulation et application symbiotique » de la cartographie des risques opérationnels par le Contrôle Permanent et par le Contrôle Périodique 85 104 Chapitre 2 : La cartographie des risques opérationnels, un nouvel outil stratégique des banques, à quelles fins ? 112 I – Saine gestion des risques opérationnels 112 II – La cartographie des risques opérationnels, un outil opérationnel 123 Conclusion 133 Bibliographie 140 8 Introduction 9 « La vraie perfection est stérile, alors que l’imperfection mesurée est génératrice de nouveauté ». Trinh Xuan Thuan. 10 « Si la matière vivante était une machine parfaite, programmée pour se reproduire à l’infini immuablement et éternellement semblable à elle – même, sans la moindre variation, la vie n’aurait pu évoluer. Elle serait restée pour toujours au même stade primitif. C’est grâce à des imperfections de reproduction que des structures nouvelles peuvent apparaître et que la vie peut évoluer » 1. Cet extrait reflète, à mon sens, l’évolution des risques bancaires vers un risque plus spécifique : le risque opérationnel. En effet, il est vrai que le domaine bancaire subit des mutations tant l’environnement économique et financier devient source de risque, d’autant plus que l’activité bancaire côtoie les risques en permanence. Les événements financiers de ces dernières années (effondrement de la Barings, affaire du Sentier, ou encore l’affaire Sumimoto), ont eu des conséquences sur la prise de conscience des risques opérationnels. Les risques opérationnels muent : certains apparaissent alors que d’autres disparaissent. Pour de nouveaux risques une nouvelle réglementation était nécessaire. Il est coutume d’illustrer cette prise de conscience des risques par un fait historique : il s’agit de la crise de 1929 ou « jeudi noir ». Cet évènement se manifesta par une chute des cours des actions à Wall Street où tous les gains d’une année de hausse furent perdus. Le « krach boursier » a été consécutif à un nouveau système d’achat à crédit d’actions, qui depuis 1926 était permis à Wall Street. Suite à la hausse des taux d’intérêt en avril 1929, à la stagnation des cours, le remboursement des intérêts était devenu supérieur aux gains boursiers et de nombreux investisseurs furent contraints de vendre leurs titres pour couvrir leurs emprunts, ce qui poussa les cours à la baisse et déclencha une réaction à la chaîne. De là, prés de 9000 banques, disparurent en trois ans par un effet « dominos » qui conduisit des banques à faire faillite du seul fait de la chute d’autres banques (leurs débitrices), et par les « runs » 1 2 2 qui Trinh Xuan Thuan, Le chaos et l’harmonie, France Loisir, 1998. Ruées. 11 conduisirent les déposants paniqués à retirer en masse leurs dépôts, amenant les banques à une crise de liquidités. En réaction à ce vent de panique et aux faillites en chaîne des banques, tout le système bancaire fut fermé 1. Dés lors, le krach boursier devint une vraie crise bancaire, qui se transforma en crise économique mondiale (baisse des prix, faillite de nombreuses entreprises, réduction de la consommation, chômage ou encore, effondrement de la monnaie) qui eut des conséquences politiques (montée des dictatures et des régimes autoritaires) expliquant en partie la deuxième Guerre Mondiale. Un modèle financier a été mis en place aux Etats – Unis suite à cette crise financière de 1929. En effet, l’administration américaine y a répondu par deux types de mesures : d’une part, un renforcement de la répartition des activités avec le Glass Steagall 2 Act, qui séparait les opérations de collecte de dépôts et d’investissement, et qui s’ajoutait au Mac Fadden Act 3 instaurant des limitations géographiques d’activités ; d’autre part la création d’une garantie des dépôts destinée à éviter la fuite des épargnants et les crise de liquidité. La France de son côté, a complété son modèle d’organisation bancaire dans le même esprit après la deuxième guerre mondiale. Un ratio de liquidité fut crée en 1948 pour s’assurer des capacités immédiates du système bancaire à faire face à ses engagements. 1 On parle en générale de « risque systémique » : c'est l'effet « boule de neige ». Il résulte de l'incapacité d'une institution financière à faire face à ses engagement entraînant pour d'autres établissements l'impossibilité de faire face à leurs propres engagements. 2 Le Mac Fadden Act avait été mis en place aux Etats – Unis en 1927 afin d’éviter la constitution de grandes banques à l’échelle nationale fédérale américaine, en empêchant un banque installée dans un Etat Américain de s’installer également dans un autre Etat (www.lazyfrench.free.fr). 3 Le Glass Steagall Act, introduit en 1933 par Roosevelt après la crise de 1929 pour interdir aux banques de dépôts de faire de la spéculation sur les valeurs mobilières (il a été officiellement supprimé en 2000) (www.lazyfrench.free.fr). 12 Le dispositif général de régularisation prudentielle reposait ainsi sur deux piliers destinés à éviter la diffusion systémique des crises : un classement des activités ; une protection de la liquidité court terme des circuits financiers. De plus la crise financière de 1987 mit en avant les risques auxquels pouvaient être confrontées les banques. Cette crise eut pour effet que le Comité de Bâle publia un projet de ratio de solvabilité qu’il adopta en 1988. Mais ce n’est qu’en 1993 que les travaux aboutirent. Le ratio adopté en 1988 « Cooke » avait pour objectif de s’assurer de la relation entre les fonds propres d’un établissement et de la taille de son activité. Cependant l’instauration du nouveau ratio n’eut pas l’effet escompté en ce sens où les banques ne disposaient pas d’outils performants de gestion interne. Des dysfonctionnements sont apparus au sein des banques qui prenaient les risques sous – estimés par le ratio tandis que les marchés financiers se concentraient sur d’autres risques, plus importants. Ainsi, c’est dans ce contexte que la réforme de Bâle II est venue pallier ces dysfonctionnements en proposant des règles qui devraient s’appliquer de façon cohérente par toutes les banques du monde. Les principaux dispositifs visant à réduire les risques opérationnels trouvent leurs origines au début des années quatre – vingt – dix, en France, avec la lutte contre le blanchiment des capitaux (loi du 12 juillet 1990), la mise en place du dispositif de contrôle interne (règlement CRBF 97/02), les mesures applicables en matière de déontologie (Titre III du règlement générale du Code Monétaire et Financier), le dispositif de continuité des activités (règlement CRBF 2004/02), les obligations en matière de conformité et de contrôle permanent (arrêtés du 31 mars 2005 portant réforme du CRBF 92/02) et la loi de Sécurité Financière (17 juillet 2003). C’est seulement à partir de 2000 que la réglementation prudentielle 13 des accords de Bâle II s’est traduite par la mise en œuvre d’un nouveau projet réglementaire. L’idée du Comité de Bâle dans cette réforme a été de créer lui – même le modèle interne des banques en fixant notamment les normes d’adéquation des fonds propres et son mode de calcul pour répondre à cet impératif d’adéquation. En effet, la solvabilité des banques doit désormais être surveillée par les autorités de régulation. Afin de tenir compte des changements de profils des risques des banques, une nouvelle politique prudentielle modulant le besoin réglementaire en fonds propres des banques en fonction de leurs risques a donc été instauré. Cette nouvelle politique du risque a acquis une dimension internationale. Au niveau européen, la Commission européenne a proposé le 14 juillet 2004 un projet de directive (sur la solvabilité CRD) visant à traduire dans un texte réglementaire les recommandations de Bâle II. Ce texte a été adopté le 11 octobre 2005 par le Conseil des ministres européens. Cette directive a pour but d’assurer une application « cohérente » dans toute l’Union Européenne du nouveau cadre international concernant les exigences en fonds propres. Ce texte modernise la directive mise en place en 1988 et rend obligatoire l’application du nouveau ratio de solvabilité. Cela étant la directive a inséré des spécificités dans le nouveau régime. En effet, alors que Bâle II préconise le principe de surveillance des risques au niveau consolidé, la directive pose la surveillance sur base individuelle comme principe. Ensuite, la directive met en place des procédures qui doivent assurer la cohérence et la convergence de la supervision et éviter toute distorsion de concurrence et de possibilité d’arbitrage réglementaire entre les Etats membre. Autrement dit les autorités de surveillance nationales seront tenues de collaborer plus étroitement entre elles, notamment pour autoriser l’utilisation par les institutions financières des méthodes plus sophistiquées. Selon la directive, le comité européen des contrôleurs bancaires (CEBS) aura un rôle important à jouer pour assurer la cohérence des approches des diverses autorités de surveillance. 14 Du côté des Etats – Unis, les superviseurs bancaires ont reporté d’un an l’entrée en vigueur de le réforme Bâle II (c’est – à – dire en 2009) 1. La question qui se pose est de savoir quelles sont les conséquences de ce report pour les banques américaines ? Tout d’abord, toutes ne sont pas concernées. En effet, si en Europe, toutes les banques et les institutions financières sont soumises à un calendrier unique – proche de celui envisagé par le comité de Bâle – il en va différemment pour la réforme du ratio de solvabilité aux Etats-Unis. Le calendrier a été scindé en trois parties : pour les banques d’investissements, pour les banques locales et régionales et enfin pour les banques commerciales. Les banques d'investissement ont suivi le calendrier le plus ambitieux. Héritage de la séparation des activités financières, ces institutions n'avaient pas de superviseur sur base consolidée avant 2004. C'est pour leur permettre de répondre aux exigences de la directive européenne sur les conglomérats financiers que la Securities and Exchanges Commission (SEC) a publié en juin 2004 une règle d'adoption – volontaire – de Bâle II. Près de 9 000 banques locales et régionales ne seront pas soumises à Bâle II. Les coûts de mise en œuvre ont été jugés excessifs pour ces institutions dont 80 % ne dépassent pas le milliard de dollars d'actifs. Afin d'améliorer la sensibilité aux risques du dispositif actuel tout en limitant son coût, les régulateurs ont proposé une approche simplifiée, permettant le recours aux notations d'agence, comme dans l'approche Bâle II standard mais sans traitement distinct du risque opérationnel. 1 Il faut préciser que les méthodes les plus avancées proposées par Bâle II – et qui génèrent les plus grandes économies de fonds propres – ont été calquées sur les « meilleures pratiques » de gestion du risque, appliquées depuis longtemps par les grandes banques américaines. 15 Enfin, les régulateurs avaient initialement désigné une dizaine de grandes banques commerciales, actives internationalement, pour une application obligatoire des méthodes avancées de Bâle II. Avec les adoptions volontaires (« opt-ins »), ce sont une vingtaine de banques qui sont concernées par le report du calendrier. Alors que Bâle II prévoit deux années de transition avec application de planchers de fonds propres, les superviseurs américains ont, quant à eux, décrété trois années d'application de ces planchers – 95 % des exigences actuelles la première année, puis 90 % et 85 % les deuxième et troisième années. En l'état actuel des calendriers américains et européens, les banques européennes seront soumises à un plancher de 80 % en 2009, après avoir calculé le nouveau ratio sur deux années complètes. Les banques américaines, en revanche, basculeront effectivement au 1er janvier 2009 avec un plancher de 95 %. L'écart culminera en 2010 et 2011, quand les banques européennes pourront utiliser le dispositif Bâle II pour calculer le capital réglementaire sans la contrainte de planchers. En d'autres termes, deux ans avant leurs homologues américaines, les banques européennes vont pouvoir retirer les bénéfices de leur investissement Bâle II sous forme d'économies de fonds propres réglementaires. L'année de décalage compliquera le problème des relations entre régulateurs pour la supervision des groupes internationaux. Dans quelle mesure les superviseurs des pays accueillant des filiales de banques américaines accepteront-ils de se fier à un dispositif (données et systèmes) non encore homologué dans le pays d'origine du groupe ? Que vont-ils demander au niveau local ? Les groupes bancaires s'inquiètent des exigences accrues que des régulateurs insatisfaits des standards de supervision au niveau consolidé pourraient appliquer aux activités dans les pays dont ils ont la charge. 16 Ceci étant précisé, outre la prise de conscience des risques opérationnels à part entière parmi les risques bancaires, et l’intégration des risques opérationnels dans la calcul des fonds propres, le deuxième point important de Bâle II, est la cartographie des risques opérationnels. La cartographie des risques opérationnels consiste en une démarche participative (entretiens avec les différents directeurs, responsables de services ou collaborateurs de la banque), et progressive (description des processus, cotation, fréquence/impact et hiérarchisation des risques opérationnels). Cette démarche a pour finalité d’appréhender le niveau d’exposition aux risques d’une entité dans l’ensemble de ses activités. En effet, la cartographie des risques opérationnels résulte d’une démarche analytique fondée sur le jugement , l’expérience et le professionnalisme des collaborateurs de la banque. Les collaborateurs sont considérés comme des « acteurs » des risques au quotidien, et c’est la raison pour laquelle ils sont placés au centre de la démarche de la cartographie des risques opérationnels. Outre la fonction de miroir que peut avoir une cartographie des risques opérationnels, celle – ci permet l’identification, l’évaluation ainsi que la hiérarchisation des risques opérationnels recensés. Elle constitue une première base de connaissance globale des risques opérationnels à l ‘échelle de l’entreprise et de leur niveau de maîtrise perçus , de manière à mobiliser tous les collaborateurs de la banque afin de répondre à l’exigence de « saine gestion des risques opérationnels » préconisée par Bâle II. Cette nouvelle exigence de Bâle de « saine gestion des risques opérationnels » amène à se demander de quelle façon la cartographie des risques opérationnels peut satisfaire à une telle exigence ? 17 Dans le même ordre d’idées en quoi l’intégration des risques opérationnels dans le calcul des fonds propres, à côté des risques de crédit et de marché, pourra t elle répondre à la problématique de solvabilité des banques ? Enfin, est – ce – que ces deux innovations vont permettre de réduire réellement les risques de faillites des banques, telles celles survenues ces dernières années ? L’objectif de ce mémoire est de tenter de répondre à ces questions en s’articulant sur deux axes. Il convient tout d’abord dans une première partie, de s’interroger sur la place qui est accordée aux risques opérationnels au sein des établissements bancaires aujourd’hui. Il convient ensuite dans une deuxième partie de préciser le rôle de la cartographie des risques opérationnels au sein des établissements bancaires, et d’examiner partuculièrement de quelle façon la cartographie des risques opérationnels permet – elle de renforcer le contrôle interne des banques. 18 ère 1 partie : Les risques opérationnels et les banques aujourd’hui 19 Chapitre1 : La place des risques opérationnels vis à vis de la réglementation La place des risques opérationnels a évolué vis à vis de la réglementation, puisqu’une existence propre leur est désormais accordée par le nouvel accord international sur la réglementation bancaire, dit « Bâle II ». Ainsi, nous étudierons dans un premier temps, l’évolution récente des risques opérationnels due à une nouvelle exigence du régulateur (A), notamment par les apports de la réglementation Bâle II (B). Ensuite nous verrons dans un deuxième temps, que cette évolution récente de la prise en compte des risques opérationnels s’est concrétisée par une intégration au niveau des fonds propres, des risques opérationnels (A) et ce, grâce à différentes approches (B). I – Une évolution récente de la réglementation Bien que les risques soient aussi anciens que la banque, la notion de risques opérationnels est quant à elle plus récente. En réalité, c’est un prise de conscience de la gestion des risques opérationnels qui s’accroît, d’où la problématique pour le régulateur d’ériger un cadre réglementaire adapté à cette nouvelle notion. Ainsi est né le nouvel accord Bâle II (B),qui impose aux établissements bancaires de maîtriser leurs risques opérationnels (A). 20 A –La maîtrise des risques opérationnels, une nouvelle exigence pour le régulateur Les travaux de normalisation menés dans le secteur bancaire ont remis à l’honneur, la notion de risques opérationnels. Cette notion était déjà connue des établissements financiers puisque les risques (qu’ils soient opérationnels, de crédit ou de marché) font partie intégrante des activités de ces établissements, tant en ce qui concerne les processus de conception, de production, de distribution, de traitement des produits et des services bancaires. Bien connus dans leur principe, les risques opérationnels étaient pris en compte et gérés à travers l’activité bancaire elle – même. Cependant, le régulateur a jugé important de replacer cette notion au premier rang des préoccupations, notamment au travers de normes, communément connues sous le terme de « Bâle II ». La nouveauté tient à la diversité des risques auxquels les banques doivent faire face et à l’ampleur particulière de certaines pertes, à leur soudaineté, et au fait que les dirigeants soient surpris et dépassés par l’impact de ces risques 1. Particulièrement sensibles dans le domaine bancaire, en raison de leurs spécificités, et de leurs complexités économiques et juridiques, les risques opérationnels, deviennent de ce fait, un nouvel enjeu dans la politique de gestion des risques des banques. Par conséquent, l’idée nouvelle, pour le régulateur, réside dans le fait que la gestion des risques opérationnels devient une discipline autonome, à part entière, avec ses propres outils 2 de mesure et ses propres procédures de contrôle, tout comme les risques de crédit et les risques de marché. 1 2 On peut penser ici au risque de blanchiment dans les banques (voir l’affaire du Sentier p. 59). La cartographie des risques opérationnels par exemple. 21 D’où la nécessité pour les établissements bancaires de réviser leur politique de gestion de leur risque en appréhendant l’ensemble des métiers et activités de la banque. Les nouvelles exigences du régulateur, ont pour objectif de rendre la gestion des risques efficace en protégeant l’entreprise et en améliorant de manière rentable et durable sa valeur. Pour répondre à cette exigence de « saine gestion des risques », les banques doivent respecter les normes prudentielles internationales, définies par le Comité de Bâle II, en prenant en compte les risques opérationnels et en les intégrant dans le calcul de leur fonds propres. Pour atteindre cet objectif, l’innovation a été de préciser le niveau de fonds propres minimum que doit respecter chaque banque, en fonction des risques qu’elle encourt. Ainsi, en imposant aux banques le nouveau ratio Mc Donough, le Comité de Bâle entend assurer la solidité de l’ensemble du système financier international. En France, le régulateur avait déjà réfléchi aux risques opérationnels dans différents textes tels que le Livre Blanc sur la sécurité des systèmes 1 d’information ou le Règlement CRBF 97/02 sur le contrôle interne . Cependant ces textes ne permettaient pas de donner à la maîtrise de ces risques un cadre adapté tant dans leur mesure, que dans la mise en place d’un dispositif de prévention. 1 Le Comité de la réglementation bancaire et financière. Ce Comité a pour mission de fixer « dans le cadre des orientations définies par le gouvernement et sous réserve des attributions du Comité de la réglementation comptable, les prescriptions d'ordre général applicables aux établissements de crédit et aux entreprises d'investissement ». Les domaines de compétence du Comité sont déterminés par la loi. 22 Le régulateur a donc que soit identifier et évaluer ces risques opérationnels car ils sont présents à tous les niveaux avec une imbrication des évènements et des conséquences. Causes Evènements Inadaptation des procédures ; évènements Effet Pertes directes A travers cette définition, il en résulte que l’on part des effets quantifiables (risques ; pertes) pour remonter aux causes (évènements de risques) De même, ces risques sont, d’une part, difficiles à mesurer parce – qu’ils combinent des pertes directes et indirectes, et d’autres part , ils sont ardus à gérer car ils s’appliquent transversalement sur l’ensemble des métiers, avec des causes (internes, externes) et des conséquences (financières, image) diverses. 23 B – Le vrai apport de Bâle II Les normes prudentielles ont été définies par le Comité de Bâle. Ce Comité a été institué à la fin de 1974, sous l’appellation de « Comité des règles et pratiques de contrôle des opérations bancaires », par les gouverneurs des banques des pays du Groupe des Dix 1 , à la suite de perturbations sur les marchés bancaires et monétaires internationaux (notamment la faillite de la banque Herstatt2 en Allemagne occidentale). 1 Le Comité rassemble les autorités de contrôle des banques des pays les « plus industrialisés ». Il est composé des hauts représentants des autorités de contrôle bancaire et des Banques centrales du G10 (Allemagne, Belgique, Canada, Etats-Unis, France, Italie, Japon, Luxembourg, PaysBas, Royaume-Uni, Suède et Suisse). Les réunions ont habituellement pour cadre la banque des règlements internationaux, à Bâle, siège de son secrétariat permanent. Ce comité a été crée à l’origine pour surveiller les produits dérivés et la gestion des banques dans les pays du G10. Il s’est attaché par la suite à définir des règles de solvabilité bancaire 2 Au début des années 1970, la banque était très active sur le marché des changes, mais elle s’est vue retirée son agrément pour cause de faillite par les autorités allemandes De nombreuses contreparties lui avaient adressé des paiements (irrévocables) en DEM (The Deutsche Mark) par l'intermédiaire du système de compensation allemand. Ces contreparties attendaient des USD (The United State Dollar) qui devaient être réglés un peu plus tard (il n'était que 10h30 au Etats-Unis) par le correspondant à New -York de la banque Herstatt. Or, dès que ce correspondant eu connaissance de la fermeture de la banque, il gela tous les paiements. Les contreparties perdirent donc instantanément les fonds qu'elles devaient recevoir. Ceci entraîna un effet « boule de neige » car d'autres banques, qui n'étaient pas forcément impactées directement par la faillite de la banque Herstatt, refusèrent d'ordonner des paiements sans avoir la garantie de recevoir la contre-valeur. Ceci provoqua une crise au sein du système de compensation utilisé à New - York. Depuis, l'histoire s'est répétée : faillite du groupe Drexel Burnham Lambert en 1990, fermeture de la BCCI (Bank of Credit and Commerce International) en 1991, Baring Brother en 1995… Ce risque est depuis appelé risque de principal ou risque « Herstatt ». Par ailleurs il a montré l'existence de risque systémique (la défaillance d'un établissement entraîne la défaillance 24 Le Comité n’est investi d’aucune autorité supranationale officielle en matière de contrôle, mais il constitue, pour ses pays membres, un forum de coopération régulière en matière de contrôle bancaire. Le Comité a étudié un certain nombre de questions se rattachant aux contrôles des banques internationales et il s’est particulièrement penché, ces dernières années sur l’adéquation de fonds propres des établissements financiers. En 1988, le comité de Bâle mit en place le premier accord de Bâle, appelé ratio Cook ou Bâle I. Ce ratio avait comme objectif de renforcer la solidité et la stabilité du système bancaire international ainsi que d'atténuer les inégalités concurrentielles entre banques. Basé sur une méthodologie simple, il établissait un minimum d'exigence de couverture des risques de crédit 1 par des fonds propres. Le ratio Cook a été complété par un amendement introduisant le suivi des risques de marché 2. Ce ratio devait être respecté par tous les établissements financiers. Le capital réglementaire instauré par l'accord de Bâle I représentait le niveau minimum de fonds propres que la banque devait détenir pour assurer la protection des déposants et la stabilité du système financier. Son niveau était fixé par le Comité de Bâle. Cela étant, les activités bancaires amenant les banques à prendre des risques pouvant générer des pertes, varient dans le temps et en fonction des types d'autres établissements) notamment du fait de l'internationalisation des échanges, des décalages horaires entre les différents systèmes de règlement, et des volumes considérables qui sont échangés. 1 Le risque de crédit représente le risque de défaillance d'une contrepartie sur une opération financière par rapport aux termes et conditions du contrat. 2 Le risque de marché représente la perte potentielle due aux variations des taux de change, des taux d'intérêt, des prix des matières premières et des prix des actions. 25 d'activités exercées. C’est pour cette raison que la banque se devait de disposer de fonds propres suffisants pour couvrir ces pertes et poursuivre son activité. Ainsi, depuis 1998, le comité de Bâle a lancé la réforme Bâle II du ratio Cook dont les objectifs sont de définir un ratio illustrant les risques réellement encourus par les banques, en définissant un cadre complet pour l’appréciation des risques bancaires. Il s’agit en outre, de définir un « capital réglementaire » applicable par toutes les banques du monde, en les incitant à adopter le nouveau dispositif Bâle II pour « assurer un degré suffisant d’harmonisation afin d’éviter que les règles relatives à l’adéquation des fonds propres, deviennent un facteur sensible d’inégalité concurrentielle entre banques internationales » 1. Cette réforme est donc justifiée « par la nécessité de renforcer la sécurité des activités bancaires, dans le contexte de la mondialisation » 2. Historiquement, une partie des fonds propres destinées à la couverture du risque de crédit et du risque de marché, couvrait implicitement le risque opérationnel. La démarche du Comité de Bâle, vise désormais à donner un calcul plus élaboré et plus adapté des fonds propres au titre du risque de crédit, ceci ayant abouti à un calcul explicite d’une charge en capital pour les risques opérationnels. En effet, l’objectif du Comité de Bâle II est « d'aligner les exigences réglementaires en matière de niveau des fonds propres avec les risques sousjacents et de fournir aux banques et leurs autorités de supervision plusieurs alternatives pour l'évaluation de l'adéquation des fonds propres » (W.J. MC Donough). Ainsi, la promotion de saine gestion des risques, garante de la stabilité et de la sécurité du système financier international, et l’allocation de fonds propres pour les risques opérationnels, constituent les innovations de la Réforme de Bâle II. 1 Convergence Internationale de la mesure et des normes de fonds propres, Comité de Bâle sur le contrôle bancaire, juillet 1988. 2 Analyse et Documents Economique, février 2004. 26 Les risques opérationnels, au sens du Comité de Bâle, se définissent comme étant « les risques de pertes résultant de l’inadaptation ou de la défaillance de procédures internes, de personnes et de systèmes, ou résultant d’évènements extérieurs ». En outre, cette réforme s’attaque au processus métier d’évaluation et de gestion des risques, dans une perspective qualité (vis à vis de la clientèle, des autorités de contrôle, notamment avec les normes ISO), et va au-delà de la dimension financière (qui est le calcul de fonds propres à allouer) puisque Bâle II prend en compte et place ses exigences sur les systèmes de notation et de surveillance. Le ratio Cook retenait une pondération rigide des risques liée seulement à la nature juridique du débiteur (entreprise privé / collectivité publique…), à la localisation du risque (pays membre de l’OCDE / autre pays…) ou au type de crédit (crédit à la consommation / crédit hypothécaire…). Mais le nouveau ratio MC Donough, lui, adopte une pondération plus souple, notamment en ventilant plus précisément chaque risque de crédit en fonction, soit de la notation externe des emprunteurs, soit de leur probabilité de défaillance calculée sur une durée longue pour chaque banque (notation interne). Désormais, à côté des risques de crédit, le ratio MC Donough retient comme dénominateur le risque opérationnel et les risques de marché pour le calcul des fonds propres à allouer. Enfin, la réforme Bâle II retient une approche plus qualitative avec deux nouveaux piliers (piliers 2 et 3). Le pilier 2 offre la possibilité pour les autorités de contrôle d’exiger un ratio plus élevé que le minimum réglementaire si une banque n’a pas mis en place des procédures de contrôle interne adéquates. Le troisième pilier encourage les banques à publier la composition de leur fonds propres pour permettre une transparence financière vis à vis des autres banques. Les nouveautés de la réforme Bâle II sont donc essentiellement axées autour de ces trois piliers : Tout d’abord, il faut noter que calcul des fonds propres, est basé sur des fonctions construites à partir de modèles de gestion du risque de crédit existants. 27 Ainsi l'exigence en fonds propres repose sur un ou plusieurs indicateurs 1 reflétant le degré de risque opérationnel encouru par les banques. Ceci étant, la Réforme Bâle II, laisse une assez grande liberté aux établissements bancaires et aux autorités nationales en ce qui concerne la méthode à adopter pour la mise en œuvre des dispositions de Bâle II. En effet, le Comité de Bâle laisse la possibilité aux établissements financiers d’adopter la méthode qui leur semblerait la plus adaptée au regard de leurs activités et/ou de leur localité pour le calcul de leurs besoins en fonds propres. Cependant l’application et la détermination de la méthode doivent être « homogènes » vis à vis des autres banques pour répondre à un objectif d’harmonisation des réglementations. Le pilier 1 vise à évaluer les risques portés par un établissement et de déterminer les fonds propres minimaux nécessaires à la couverture de ces risques. La logique serait identique à celle du ratio Cook pour l’exigence en fonds propres, puisqu’elle doit être équivalente à 8% du total des risques de crédit, de marché et opérationnels mesurés. Le pilier 2 a pour objectif de renforcer la surveillance prudentielle par les superviseurs nationaux : il est demandé aux banques de disposer de procédures d’évaluation de leurs fonds propres conformes aux risques portés. Le pilier 3 incite les banques à adopter un principe de transparence financière, c’est – à – dire d’opter pour une communication financière améliorant la discipline de marché. 1 Un indicateur est une variable simple ou complexe permettant d'apprécier une situation ou de mesurer des changements intervenus (ou des différences) par son suivi et/ou sa comparaison dans le temps. Un indicateur permet ainsi de quantifier de façon objective un niveau d'exposition au risque opérationnel et de suivre sa dégradation ou son amélioration. C’est un outil décisionnel qui permet de mesurer l'efficacité d'un dispositif mis en place. 28 En effet, les établissements sont tenus de publier des informations complètes sur la nature, le volume, et les méthodes de gestion de l’ensemble des risques, ainsi que de l’adéquation des fonds propres disponibles au regard de ces risques. En somme, l'introduction des piliers 2 et 3 devrait conduire à une surveillance prudentielle accrue et à une meilleure discipline de marché. Ces piliers contribueront à renforcer le contrôle interne et le rôle du régulateur externe par une élévation des exigences en matière de communication financière et de transparence. Accord de Bâle II sur l’adéquation des fonds propres Pilier 1 Pilier 2 Pilier 3 Charge en capital Supervision des procédures Discipline de marché Le calcul des fonds propres avec les trois méthodes de calcul La vue des autorités de régulation et de contrôle La communication Les saines pratiques de gestion des risques La vue externe du marché La vue interne des banques Les trois piliers de la réforme Bâle II 29 II – Evolution récente qui se concrétise au niveau des fonds propres La mise en oeuvre de la réforme Bâle II dans les établissements bancaires devrait avoir une incidence à la fois sur leurs modèles de quantification des risques, leur organisation interne, leurs métiers et leurs systèmes d'information. En pratique, cette réforme impose dans un premier temps de choisir et de mettre en place des modèles de mesure de risques complexes avec des contraintes de délais. 30 A – Intégration des risques opérationnels dans les fonds propres Le nouveau ratio MC Donough doit être mis en place au sein des banques d’ici fin septembre 2006. Il impose aux établissements financiers de mobiliser une partie de leurs fonds propres en couverture de leurs expositions aux risques de crédit, de marché et nouvellement, aux risques opérationnels. Ces fonds propres doivent, selon le Comité de Bâle II, être calculés sur la base de leurs données de risques internes plutôt que sur un système forfaitaire. La réforme Bâle II « vise notamment à permettre une meilleure adéquation entre capital réglementaire et capital économique 1 : les banques doivent détenir du capital plus en fonction de leur profil de risque » 2. Ainsi, les fonds propres réglementaires doivent correspondre avec les objectifs de rentabilité financière de la banque. 1 Le capital économique relève d’une démarche de direction générale au service des actionnaires ou des sociétaires, et non de celle du régulateur, et doit, au sein des banques, conserver son propre mode de gestion. 2 « Bâle II, un bilan après deux ans de négociation », Flash Cdc Ixis mars 2003. 31 B – La quantification du risque opérationnel pour le calcul des fonds propres La réglementation prévoit trois méthodes de calcul applicables pour le calcul d’exigence en fonds propres qui sont évolutives puisque le régulateur incite les établissements à adopter la méthode la plus avancée (car moins consommatrice en fonds propres réglementaires). 1) les différentes méthodes proposées par Bâle II Les trois méthodes de mesure du risque opérationnel proposées par Bâle II, n’ont pas la même sensibilité à ce risque mais quelque soit la méthode retenue, l’approche quantitative (fonds propres) doit être complétée par l’approche qualitative (saines pratiques), c’est – à – dire une saine gestion des risques opérationnels. Pour cela, le Comité de Bâle a proposé trois types de méthodes permettant d’intégrer les risques opérationnels dans le calcul des fonds propres. Exigence de qualité de la gestion du risque Approche Indicateur de base (BIA) + Approche standard (TSA) Approche Mesures Avancées Niveau des exigences en fonds propres 1 Corrélation entre l’exigence en Fonds propres & la gestion des risques 1 Documentation interne BRED. 32 a) La méthode Indicateur de Base (BIA) La méthode Indicateur de base (BIA) constitue la méthode de base pour le calcul des fonds propres. Cette méthode nécessite aucun critère d’éligibilité pour son application, compte tenu de son caractère simple. En effet, cette méthode consiste à appliquer un pourcentage fixe (Alpha qui est égal à 15% coefficient fixé par la Comité, représentant la proportion entre le niveau de fonds propres de l’ensemble du secteur bancaire et l’indicateur correspondant) à un indicateur (qui est le produit annuel brut 1 (s’il est positif) sur les trois dernières années) d’exposition reflétant le niveau d’activité de la banque, et donc son degré potentiel d’exposition aux risques opérationnels (EI). Exigence en fonds propres risques opérationnels (FPRO) = α . EI 1 « Le produit brut correspond aux produits d’intérêts nets et autres produits d’exploitation (définis au niveau national, par les autorités de contrôle et/ou les normes comptables nationales). Il exclut les provisions (pour intérêts impayés par exemple) ; les frais d’exploitation dont les commissions versées aux prestataires de services d’externalisation ; les plus ou moins-values réalisées sur les cessions de titres du portefeuille bancaire ; les éléments exceptionnels ou inhabituels et produits des activités d’assurance » - « Convergence Internationale de la mesure et des normes de fonds propres », Comité de Bâle sur le contrôle bancaire, juin 2004. 33 b)La méthode standard (TSA) Dans cette méthode, les activités des banques sont réparties en huit lignes de métier. Cette méthode standard est liée aux produits nets bancaires métiers multipliés par un facteur de pondération reflétant le risque lié à l’activité donné par le régulateur. Pour adopter cette méthode, les banques doivent répondre à certains critères d'éligibilité sur la qualité du système de gestion des risques et sur le suivi notamment des données de pertes. Le niveau des fonds propres du risque opérationnel se calcule comme suit : Fonds Propres (FPRO) = Σ ßi* PNBi Ainsi pour chaque ligne de métier (i), un indice d'exposition unique (PNB) multiplié par un facteur de pondération (ßi) reflétant le risque lié à l'activité. 34 Activités Lignes métiers Coefficient ßi Financement Fusions/ acquisitions, émissions, d’entrepriseß1 privatisation, dette publique, syndication, 18% titrisation Négociation et Négociation sur marchés de capitaux ventes (marché de (actions obligations), marché monétaire capitaux) ß2 (prêts/ emprunts),… Paiements et Paiements domestiques, transferts de règlementsß3 fonds, règlements interbancaires, 18% 18% compensation, correspondant banking Service d’agence ß4 Conservation de titres, service aux 15% émetteurs, prêts de titres Banque Effets de commerce, financement export, commercialeß5 commerce international, financement de 15% projet, leasing, factoring Gestion d’actifsß6 Gestion de fonds sous toutes ses formes 12% (public/privé, retail/institutionnel, côté/ non côté,..) Courtage de Traitement des ordres et services associés 12% Dépôts, prêts, cartes bancaires, services 12% détailß7 Banque de détail ß8 bancaires, conseils financiers, banque privée, gestion de fortune, garanties « Méthode qui raisonne par ligne de métiers multipliés par un facteur de pondération qui reflète le risque lié à l'activité . 35 (%) La banque doit commencer à enregistrer systématiquement les données de pertes dues au risque opérationnel, notamment les pertes significatives par ligne de métier. Ce processus de collecte des pertes n’a pas vocation dans l’approche standard à alimenter le dispositif de mesure mais à renforcer le dispositif de contrôle du risque opérationnel. Ainsi, l’approche standard est souvent considérée comme une étape vers l’approche des mesures avancées (AMA), qui requiert des historiques de pertes importants (5 ans). c) La méthode des mesures avancées 1 (AMA) Dans la méthode des mesures avancées, l’exigence est calculée par un modèle interne, développé par la banque, sous des contraintes qualitatives et nécessitent l’accord du superviseur. Ainsi, cette méthode suppose que la banque soit en mesure de collecter, de conserver et d’analyser toutes les données internes concernant les pertes liées aux risques opérationnels et de les utiliser comme base du calcul des fonds propres correspondants. Ainsi en respectant la décomposition entre les huit lignes d’activités et les sept catégories de risques. 1 Le dispositif incite les banques à opter pour la méthode avancée car moins consommatrice en fonds propres réglementaires. Cependant, en échange, les banques devront mettre en place une organisation spécifique visant à un « meilleur » contrôle des risques opérationnels et à la réduction des pertes. La méthode avancée requiert la nomination d’une entité indépendante responsable de la mise en place d’une stratégie de réduction des risques opérationnels. 36 Les principes associés aux modèles internes sont les suivants : L’utilisation de données internes avec un historique de pertes d’au moins cinq ans (trois ans au moment de la mise en œuvre) et à partir d’un seuil adéquat ; L’utilisation de données externes retraitées pour être pertinentes et comparables à des données internes (c’est – à – dire aux données de la banque) ; L’analyse par scénarios est une auto – évaluation des risques, notamment pour les risques à faible probabilité et fort impact ; L’évaluation de l’environnement et du système de contrôle interne des risques considérés (c’est une appréciation de la qualité de la gestion des risques). Un calcul de mesure de la perte attendue pour chaque couple ( expected loss EL) est réalisé. Il est ensuite calculé sur cette base, le besoin en capital des risques opérationnels (FPRO) grâce à un facteur multiplicateur. EL = PE 1 x LGE2 x E3 1 Probabilité de l’évènement (probability of event) 2 Perte en cas d’évènement (loss given by event) 3 Exposition au risque opérationnel. 37 PE et LGE sont déterminés par la banque d’après ses modèles internes. Le facteur E est donné par le régulateur 1. Les fonds propres à allouer sont la somme des pertes attendues pour chaque couple pondérés d’un facteur γ spécifique (les cinquante six facteurs sont fixés par le régulateur). FPRO = Σij (γij x Elij) [catégorie d’activité (i) x type de risque (j)] Le risque opérationnel a été la cause de nombreuses défaillances dans les établissements de crédit. Les banques ont d'ailleurs tiré des leçons du passé et mettent en œuvre des procédures pour le contrôler. Les priorités s'orientent actuellement vers la mesure, la modélisation des risques opérationnels et leur impact sur l'allocation des fonds propres. 1 Pour comprendre cette formule, il s’agit d’un schéma classique : probabilité, taux de perte et le montant de l’exposition au moment (voir vocabulaire ci – dessus). 38 Méthode de base Pas d’organisation spécifique .Intégration des obligations de la méthode standard . Mise en place d’une entité indépendante, en charge de la mise en place de l a politique de gestion des risques opérationnels, des procédures et des contrôles . Utilisation de données externes à l’établissement pour la prise en compte des risques « majeurs » . Calcul des fonds propres à mobiliser su r la base des données d’incidents collectés et de ces données externes Méthode standard . Découpage de l’activité par ligne de métier selon les critères du régulateur . Identification des risques opérationnels et réévaluation périodique . Evaluation des pertes potentielles liées à la réalisation de ces risques . Définition d’indicateurs pertinents de suivi des risques . Reportages internes à destination des opérationnels comme des organes de direction . Mise en place des plans d’actions découlant de ces reportages . Collecte des données d’incidents (consécutifs à la réalisation des risques). Méthode avancée 1 Pré – requis organisationnels de chaque méthodes 1 Sources : SIA Cabinet de Conseil 39 2) Différentes approches adoptées par les banques pour évaluer les risques a) L’ approche Top-Down La méthode Top - down donne une estimation du risque opérationnel sur la base des variations historiques des résultats après intégration de facteurs tels que l'évolution de l’activité ou le coût lié aux changements. Dans cette approche, certaines banques ont tendance à évaluer l'exigence de fonds propres pour le risque opérationnel en prenant simplement un pourcentage d'un indice d'activité comme le produit brut bancaire. D'autres estiment le risque opérationnel selon un pourcentage fixe correspondant aux coûts opérationnels de l'établissement ou de la ligne métier. Selon cette approche, on peut envisager un schéma dans lequel le montant 1alloué en fonds propres pour couvrir le risque opérationnel serait égal : Indice d'activité x multiplicateur de la ligne d'activité x k Cette approche présente l'avantage d’être mis en place une fois que l'élément inconnu de volatilité des résultats historiques des activités est résolu. Toutefois elle présente une faible valeur analytique ; un rapport difficile à établir entre perte et revenu variable et entre risque opérationnel et revenu variable. 1 k est un score représentant l'environnement. 40 On peut dire que les modèles proposés par cette méthode ne sont pas propices à la mise en œuvre d'un contrôle interne, d'où son ignorance de la qualité du contrôle. Dans ce cadre, et pour mieux maîtriser le risque opérationnel, les établissements s’orientent d’avantage vers des approches à forte valeur ajoutée type " Bottom-Up ". b) L’approche Bottom -Up Les modèles Bottom-Up correspondent à une approche structurelle dans laquelle l'identification, l'évaluation des pertes et risques sont définis à l’intérieur de la banque en fonction de la logique de comportement, des processus et de la technologie . En effet, lors d'une telle approche, chaque opération est analysée de son initiation jusqu'à sa comptabilisation. A chaque étape, les tâches et contrôles clés sont décrits, testés et évalués. Le recensement et l'évaluation des risques opérationnels est traduite dans une cartographie des risques opérationnels (zones géographiques, ligne métier, entité, activité et productivité) se déclinant de la plus globale à la plus exhaustive. Cette approche apparaît utile pour comprendre la nature du risque opérationnel et pour permettre un contrôle interne efficace. Elle est source de création de valeur car elle intègre des cartographies des risques opérationnels liés aux activités et process comprenant l’identification, l'analyse et l’évaluation des risques. 41 Elle permet de contribuer d’une part à la connaissance des risques opérationnels au niveau des activités, et d’autre part au changement comportemental des différents acteurs et notamment les opérationnels. Toutefois, elle présente l’inconvénient de la subjectivité. En effet, un risque peut avoir plusieurs sources : faut-il le classer dans le risque humain, processus, systèmes ou encore externes ; dans quelle catégorie faut-il le classer ? 42 Chapitre 2 : L’évolution organisationnelle des banques par rapport aux risques opérationnels La mise en œuvre du dispositif de Bâle II nécessite l’organisation d’un dispositif de maîtrise de risques opérationnels et fait intervenir de nombreux acteurs de l’entreprise. Ces risques se retrouvent à tous les niveaux et dans toutes les fonctions de l’entreprise. D’où la nécessité de mettre en place une approche transversale à l’échelle de la banque, et non par « étage » car les différents acteurs de la banque vont tour à tour jouer des rôles opérationnels, de contrôle et de validation et ce, de manière itérative avec une implication forte non seulement de la Direction Générale, mais aussi des fonctions de Contrôle interne (Permanent et Périodique). I – Une organisation pyramidale Une organisation pyramidale qui fait intervenir, la Direction Générale (A) de la banque, et la Direction des risques opérationnels (B). 43 A – Le rôle de la Direction Générale dans la maîtrise des risques opérationnels La Direction Générale doit être impliquée dans la définition de la mise en œuvre du dispositif de gestion des risques, et ceci avec l’accord du Conseil d’Administration. C’est elle qui valide la politique de risque, en particulier les limites de risques et l’allocation de fonds propres permettant la couverture des risques. A la lecture du dispositif du Comité de Bâle II, il est clair que la Direction Générale joue un rôle jugé « déterminant » (selon de nombreuses banques) pour une saine gestion du risque à l’échelle de l’établissement tout entier. C’est elle qui a en charge de traduire le dispositif de gestion élaboré par le Conseil d’Administration, en politiques (de saine gestion des risques, en vérifiant et évaluant l’adéquation du processus de surveillance de cette gestion au regard des risques inhérents à la politique de chaque entité de la banque), processus et procédures pouvant être appliqués et contrôlés au sein des diverses entités de la banque (par l’audit interne par exemple). De même, la Direction Générale assume devant les autorités de contrôle, la réalité et l’efficacité du dispositif et se voit attribuer de nouvelles responsabilités. En effet, la Direction Générale est responsable du système de gestion et de maîtrise des risques et de son implantation. Elle est également responsable de la stratégie de couverture des risques opérationnels. Enfin, la Direction Générale doit s’assurer qu’un audit régulier du système est réalisé en toute indépendance pour vérifier l’exhaustivité et la qualité du système de contrôle mis en œuvre. 44 B – La direction des risques opérationnels Dans le cadre de la mise en œuvre de la Réforme de Bâle II, les risques opérationnels ont été appréhendés comme une catégorie de risque spécifique qui nécessite, au même titre que les risques de crédit ou de marché, la définition d’un dispositif particulier, propres aux risques opérationnels, et ce, en terme d’organisation. Ainsi, le Comité de Bâle II a – t’il insisté sur la création d’une Direction des risques opérationnels, indépendante des lignes métiers et de l’Audit. La direction des risques opérationnels est considérée comme le principal outil pour la Direction Générale pour assurer une bonne efficacité du dispositif. Son positionnement dans l’organisation de la banque bénéficie d’une indépendance non négligeable par rapport aux fonctions opérationnelles pour permettre une vision transversale et orientée, facilitant la prévention des risques opérationnels. Souvent dans les différents schémas des organisations des banques, la direction des risques opérationnels est rattachée à la direction générale. La Direction des Risques Opérationnels (DRO) est une filière de contrôle permanent issue de l’évolution du règlement 97-02 du Comité de la Réglementation Bancaire et Financière sur le contrôle des établissements de crédit. La DRO intervient dans la prévention, la mesure, la surveillance et le contrôle des risques opérationnels, assure la coordination du contrôle permanent des risques opérationnels ainsi que l’animation des contrôleurs internes intervenant dans ce domaine. 45 La direction a des compétences dans trois domaines principaux : - En matière de maîtrise des risques opérationnels, à travers des actions de prévention, de surveillance permanente et de contribution au développement de « saines pratiques » en matière de gestion des risques opérationnels. - Elle assure la coordination des activités de contrôle permanent des risques opérationnels et de conformité réalisées dans les Directions ainsi que l’animation des contrôleurs internes. - Enfin, elle centralise des données de contrôle permanent sur les risques opérationnels et la conformité et leur exploitation ainsi que la diffusion vers les autres filières de contrôle des éléments de risque relevant de leur compétence, notamment la Direction de la Conformité. 1) En matière de risques opérationnels a) Prévention, politique de gestion et surveillance des risques opérationnels La DRO intervient dans les phases de prévention, de détermination de la politique de gestion et surveillance. Elle collecte, interprète et diffuse la réglementation afférente aux risques opérationnels Elle élabore une politique de saine gestion de ces risques en suivant les actions d’amélioration mises en œuvre par les opérationnels 46 Et surveille la qualité des informations utilisées et l’évolution des niveaux de risques. b) Base Pertes et Base Incidents La DRO appréhende et mesure les risques opérationnels à travers les bases « Pertes » et « Incidents » dont elle est chargée de la mise en place. Elle s’assure de la collecte et de la conservation de ces indicateurs. c) Cartographie des risques La DRO impulse la cartographie des risques et son actualisation au fil des contrôles effectués sur le terrain par les contrôleurs de 1 er et de 2 ème niveau. Elle a vocation à assurer l’administration de la cartographie générale des risques de la banque. d) Plan de continuité d’activités La DRO s’assure de l’élaboration, de l’actualisation et du maintien en condition opérationnelle du Plan de Continuité d’Activités par les Directions opérationnelles. Elle est chargée notamment de vérifier l’adaptation permanente du Plan de Continuité d’Activités aux évolutions de la stratégie, des processus et/ou de la réglementation. 47 e) Diffusion de normes et de règles en matière de contrôle des risques opérationnels La DRO définit des normes en matière d’évaluation du risque, de contrôle et de reportage. Dans ce domaine, elle assume également une maîtrise d’ouvrage sur les outils de contrôle permanent relatifs aux risques opérationnels. 2) En matière de coordination des contrôles permanents (risques opérationnels et conformité) a) Animation et coordination du dispositif de contrôle permanent La DRO assure l’animation des contrôleurs permanents et la coordination de leurs travaux. Elle veille à la mise en place, à l’efficacité et à la pertinence du dispositif de contrôle permanent. Pour ce qui concerne les risques opérationnels et la conformité, les contrôleurs permanents sont rattachés : - hiérarchiquement à leur Directeur ou au Directeur Général dans le cas des filiales ; - fonctionnellement à la DRO. Dans ce cadre, elle est chargée de l’animation des contrôleurs permanents, de la cohérence dans les approches et les méthodes de contrôle et de la communication entre les différents contrôleurs permanents des Directions et des Filiales. 48 b) Centralisation et diffusion des travaux réalisés par les contrôleurs permanents La DRO centralise les remontées des éléments de contrôle permanent sous la forme de tableaux de bord, de rapports ou de synthèses. Ces documents sont analysés sous l’angle de la maîtrise des risques. Ils contribuent à l’élaboration des reportages vers les organes dirigeants et les autorités de tutelle. Au titre de la coordination, elle transmet les éléments d’informations aux différentes filières de contrôle dont la Direction de la Conformité ainsi qu’aux comités statuant sur les aspects de contrôle. c) Reportage et rédaction de rapports réglementaires A partir des reportages recueillis auprès des contrôleurs permanents, la DRO informe régulièrement le Directeur Général, le Comité d’Audit ou le Conseil d’Administration, de l’état du dispositif de contrôle permanent et des dispositions prises pour assurer la maîtrise des risques opérationnels et la continuité de l’activité. La DRO contribue également à la rédaction des rapports réglementaires destinés aux autorités de tutelle. La direction des risques opérationnels est investie de nombreuses missions qui, grâce à son indépendance vis à vis des autres fonctions opérationnelles de la banque, lui permet d’une part de définir la frontière entre les différents risques (opérationnels, de crédit, et de marché) et d’autre part d’affecter à ces risques un sinistre en évitant des doubles comptes. 49 3) Plans d’actions Il incombe à la direction des risques opérationnels de définir la politique et les procédures de la banque pour la gestion des risques opérationnels, ceci, en coordonnant des travaux réalisés dans les lignes métiers. Parmi ses nombreuses missions, la direction définie des outils transversaux de mesure et de suivi, définition et mise en place du système d’information permettant le suivi et le pilotage des risques. En somme, le rôle de la direction des risques opérationnels est d’assurer un suivi de la gestion des risques opérationnels en élaborant (en collaboration de la direction générale) une politique de gestion des risques en y associant les procédures adéquates et des plans d’actions à mettre en œuvre. Dans ce domaine, la Direction Générale de l’établissement bancaire joue un rôle essentiel : En officialisant le rôle et la mission de la direction des risques opérationnels chargée d’assurer la coordination du projet cartographie des risques opérationnels dans les différentes directions et la coordination entre la gestion quotidienne des risques opérationnels et le plan de continuité d’activité 1 (PCA). 1 Plan de Continuité d’Activité: ensemble de procédures établies pour pallier tous les types d’incidents pouvant mettre en péril la continuité d’exploitation. Un plan de continuité se décline en quatre volets : 1.L’établissement d’une liste de scénarios susceptibles d’impacter fortement l’activité S1 : Indisponibilité des systèmes d’information S2 : Indisponibilité des locaux S3 : Indisponibilité du personnel 2.La rédaction des procédures de secours afférentes aux scénarios et leurs mises à jour régulières 50 En désignant un « Risk Manager » dans chacune des directions, dont l’objectif sera, en collaboration et avec le soutien de direction des risques opérationnel de faire vivre la cartographie des risques opérationnels : de recenser et suivre les actions de correction nécessaires, et d’alimenter les bases pertes et incidents pour les événements concernant sa direction, de faire le lien avec les procédures de plan de continuité d’activité. 3.La mise en place des moyens et dispositions définis lors des scénarios ainsi que leur maintenance opérationnelle, 4. Le contrôle régulier du maintien en condition opérationnelle. 51 II – La difficile prise en compte du risque à tous les niveaux de la banque On parle de difficile prise en compte des risques opérationnels car il avait toujours été préférable de privilégier les risques liés à l’activité bancaire (risque de taux, de liquidité, de marché…) faisant parties de la culture de gestion des risques. A l’inverse, les risques opérationnels étaient moins formalisés et gérés de façon moins structurée et spontanée par les différentes entités de la banque. 52 A – Les lignes métiers et les opérationnels La gestion des risques opérationnels nécessite une déclinaison dans les lignes métiers selon des partages de responsabilité. L’un des enjeux majeurs d’une politique de gestion des risques opérationnels concerne la formation et la mobilisation des équipes aux risques existants et à la bonne gestion des incidents. Sur les fonctions opérationnelles, il est fréquent de retrouver deux niveaux de fonctions qui ont une responsabilité différente dans le dispositif. Au premier niveau, on retrouve le «Risk Management ou gestion des risques » Un « Risk Management » se retrouve dans tous les secteurs d’activités. Cependant, dans le domaine bancaire, il a un caractère particulier, en ce sens où le Risk Management évolue dans une dimension réglementaire très forte, ce qui se répercute sur la gestion des risques dans ce domaine. La gestion des risques signifie mesurer les risques encourus dans le cadre d’une activité c’est – à – dire évaluer le risque pour savoir s’il est possible de le supporter . Il s’agit notamment d’appréhender le risque et d’y apporter des solutions concrètes, notamment par le biais d’actions correctrices. Les fonctions du Risk Management relèvent à la fois de l’opérationnel et du domaine de la surveillance 1 au même titre que la direction de la fonction opérationnelle. En effet, cette fonction assure entre autre, la gestion des risques opérationnels 2 , c’est – à – dire la mise en place d’outils d’évaluation et de reportages ; le Risk 1 La surveillance des risques et des limites est une composante essentielle du management des risques, elle est dévolue aux contrôles de premier et de deuxième niveau. 2 Mais son périmètre de compétence s’étend à tous les risques, et plus particulièrement aux risques opérationnels. 53 Management propose des mesures de prévention des risques en s’assurant de la remontée d’informations fiables et exhaustives dans le dispositif de suivi des incidents et valide ces informations ; il définit des plans d’actions nécessaires à la maîtrise des risques, ou encore, assure un transparence du dispositif. Ses décisions peuvent porter sur un renforcement du contrôle interne pour une application stricte des politiques et procédures, sur le développement de nouveaux outils de gestion, un changement de politique commerciale et sur la mise en place de nouvelles procédures de contrôles. Enfin, au deuxième niveau se trouve les collaborateurs. Ils assurent la gestion des risques opérationnels en passant nécessairement par la détection et l’enregistrement des incidents, et, à leur niveau, à la mise en place des mesures correctives (par des plans d’actions) et conservatoires. 54 B – Les métiers transversaux face aux risques opérationnels Les métiers transverses sont en général en charge de risques particuliers (système d’information, déclarations réglementaires…) ou ont des contraintes spécifiques (confidentialité des informations pour les ressources humaines) qui impliquent parfois des traitements particuliers. Ces métiers transversaux regroupent les systèmes d’information, la sécurité de l’information, les ressources humaines, la logistique ou encore les services juridiques. Les métiers transversaux jouent un rôle majeur dans le dispositif de maîtrise des risques opérationnels ; et ce, à tous les niveaux. Ainsi, la réforme de Bâle II, a induit les banques à modifier leur organisation interne même si en France cette évolution avait déjà été entreprise par le Règlement CRBF 97/02, qui prévoyait déjà une réorganisation pyramidale des banques avec des contrôles de premier, second et troisième niveau, notamment dans la lutte des établissements bancaires contre le blanchiment des capitaux ou contre le financement du terrorisme. Ainsi la gestion des risques opérationnels suppose une organisation des lignes métiers associant les fonctions opérationnelles, par analogie à l’organisation prévue par le règlement pré – cité. 55 Chapitre 3 : L’ontologie des risques opérationnels Le Comité de Bâle a défini une typologie des risques opérationnels en choisissant une répartition en sept catégories de risques opérationnels. 56 I – Les composantes du risque opérationnel L’identification des risques opérationnels générés par leurs activités demeure une étape fondamentale pour que les établissements de crédits puissent assurer les moyens adéquats pour quantifier et gérer ces risques opérationnels. Cette démarche d’identification et de gestion autonome est apparue ces dernières années comme une discipline à part, étant donnée l’importance et l’impact des ces risques sur les banques quand ils interviennent. 57 A – Des risques traditionnels Les risques traditionnels s’entendent des risques qui proviennent de l’ensemble des métiers bancaires, qu’ils s’agissent du risque de défaillance opérationnelle, du risque juridique ou fiscal, ou encore des fraudes (interne ou externe). 1) Risque de défaillance opérationnelle Le risque de défaillance opérationnelle se définit comme le risque de perte directe ou indirecte provenant de défaillances potentielles de personnes employées, de processus engagés et de technologies utilisées. Cette définition du risque de défaillance opérationnelle, calque celle des risques opérationnels. Ce risque peut résulter par exemple, d’un risque de transaction causé par des erreurs lors d’opérations telles que virements, transferts de fonds, encaissements…). Mais il peut aussi résulter d’un manque de contrôle dans les activités de Front - Office, Middle – Office, ou même, Back – Office. En outre, dans cette catégorie de risque il est possible de définir deux sous catégories de risque de défaillance opérationnelle : d’une part, le risque de procédure ou « administratifs », qui est le risque de perte dû à une défaillance humaine ou d’un système ; d’autre part, le risque matériel qui se définit comme le risque d’indisponibilité provisoire ou prolongée des moyens (installations immobilières, matériel informatique…) nécessaires à l’exercice de l’activité. 58 Le risque de défaillance opérationnelle ne se produit pas souvent, de même que son impact et sa fréquence sont incertains (notamment en raison des évènements à l’origine des dysfonctionnements qui peuvent être tant internes qu’externes à la banque), d’où la nécessité de les quantifier et d’essayer de les coter dans les cas où ils seraient avérés pour les anticiper et atténuer leur survenance potentielle. 2) Risque juridique La communauté financière nationale et internationale, normalisent depuis des années, les rapports juridiques entre les opérateurs économiques, en prévoyant des contrats cadres, visant à standardiser et à normer les clauses de ces contrats. Les transactions bancaires, notamment peuvent s’appuyer sur ces types de contrats pour effectuer leurs opérations. Ainsi, le risque juridique concerne tout ce qui peut rendre caduque les droits et obligations déterminés par lesdits contrats. Il peut s’agir d’un risque juridique portant sur la qualité des contrats, où dans ce cas, par exemple, les clauses contractuelles seraient remises en causes, voire même, frappées de nullité. De ce risque juridique, peut découler un risque pénal pour lequel les dirigeants ou les collaborateurs de la banque encourent des sanctions. En outre, il n’est pas rare de voir un mandataire social engager sa responsabilité pénale en cas de délit non intentionnel, ce qui constitue une source de risque réelle pour les dirigeants, entraînant des conséquences pour la réputation et l’image de l’établissement concerné. 59 3) Risque fiscal Le risque fiscal correspond au risque de se voir condamner à payer une amende suite à une interprétation erronée de la loi fiscale, à son détournement, à une complicité pour des fraudes commises par des clients. Il faut noter que ce risque se distingue du risque de pertes financières, qui lui, survient notamment en cas de condamnation (civile dommages intérêts) ou pénal (amendes). Le risque de pertes financières est donc la conséquence des risques traditionnels, c’est - à – dire, l’impact subi par la banque du fait d’un dysfonctionnement, d’un risque non ou mal géré par l’établissement bancaire. Le risque fiscal recouvre le non respect des dispositions juridiques en vigueur, et la non prise en compte des changements de législation ou de la réglementation en vigueur, en matière fiscale. 4) Risques humains et fraudes Le risque humain, inhérent à la qualité de la personne naît du non respect des exigences attendues des moyens humains (exigence de compétences et de disponibilité, de déontologie…). Ce risque peut être intentionnel, (notamment en cas de fraudes), ou non intentionnel, (erreur humaine). Les erreurs humaines dites « non intentionnelles », sont souvent coûteuses et leur prévention comme leur détection a priori, dépendent de la compétence du 60 personnel, de leur niveau de vigilance, de leurs capacités d’adaptation aux évolutions techniques, mais aussi de la technicité des opérations à traiter et de la qualité du matériel et de la logistique utilisée. Le risque intentionnel, ou « délibéré », résulte de l’inobservation des règles de procédures, de prudence, de déontologie, de la malveillance, tout ceci, se concrétisant par la réalisation d’opérations frauduleuses (exemple : l’escroquerie ou le vole de carnets de chèques par un collaborateur de la banque). Ce risque, comme le risque de défaillance opérationnelle, est assez difficile à anticiper, car, bien que les établissements bancaires puissent prendre toutes les mesures nécessaires, quant à la formation ou la sensibilisation des collaborateurs aux risques qu’ils encourent, l’établissement n’est pas à l’abri d’éventuelles pertes de contrôles d’un collaborateur (folie, dépression…), qui dans ce cas, n’exclut pas la possibilité d’engager la responsabilité de la banque. 61 B - Deux risques à part entière : le risque de non conformité et le risque de blanchiment de capitaux La question qui vient à se poser à ce stade, est de savoir quelles corrélations pourraient survenir entre risques opérationnels, risques de non-conformité et risque de blanchiment des capitaux. Pour répondre à cette interrogation, il convient tout d’abord de définir les risques de non – conformité d’une part et le risque de blanchiment d’autre part. 1) Définition des risque de non – conformité et du risque de blanchiment de capitaux a) le risque de non - conformité Avant de définir le risque de non – conformité, il faudrait tout d’abord, s’attacher à la définition même de la conformité : en d’autre terme, à quoi fait – on référence quand on parle de conformité ? En France, il y avait une notion de « déontologie 1 » consacrée dans le règlement 96/03 de l’ancienne Commission des Opérations de Bourse 2 ; mais cette notion a disparu, au profit de la naissance d’une fonction distincte, dédiée à la conformité, 1 Ensemble des règles morales qui régissent l'exercice d'une profession ou les rapports sociaux de ses membres. 2 La COB a fusionné avec le Conseil des Marchés Financiers pour donner naissance à l’Autorité des Marchés Financiers. 62 apparue dans l’entreprise financière à la fin des années 1980 dans les pays d’origine anglo – saxonne : on parle dans ces pays de « Compliance ou Compliance Officer ». C’est à cette époque qu’on isole une fonction nouvelle « chargée de la conformité aux lois propres à des métiers spécifiques ». Cette fonction a fait l’objet d’une recommandation par le Comité de Bâle, qui a précisé que son rôle « est d’assister la banque dans la gestion du risque de conformité, lequel peut être défini comme « le risque de sanctions légales ou réglementaires, de pertes financières ou de pertes de réputation auxquelles une banque peut être soumise par suite des manquements aux lois applicables, aux règlements et codes de conduite ». La conformité, ou plus précisément, l’absence de conformité, est présentée comme un risque. La fonction de « conformité » n’était pas jusqu’à présent isolée comme telle. En effet, la raison en est que le risque qu’elle cherche à éviter, n’était pas lui – même distingué. Le risque de non – conformité fait partie des « nouveaux risques », considérés comme étant immatériels, ou moins objectifs que les risques de crédit ou de marché, directement liés à l’activité bancaire. Ce risque « nouveau », appartient désormais à la catégorie des risques « éthiques ». Ainsi, parallèlement à la naissance de ce nouveau risque, est né un nouveau principe qui est celui de celui de la réorganisation de l’entreprise bancaire ou financière dans la gestion du risque de nature « éthique ». Le Comité de Bâle préconise même d’instaurer une culture de l’éthique au niveau le plus haut de l’organisation des établissements de crédit, en recherchant, non pas, le « simple » respect des lois, mais « l’esprit de la loi ». Cette préconisation de Bâle pour être effective, nécessite donc en même temps une culture de la « conformité ». Ainsi, la conformité irrigue l’organisation des établissements de crédit. 63 Ainsi il est possible de se demander en quoi consiste la fonction de conformité ? C’est – à – dire en quoi consiste la mission de prévention du risque de non – conformité ? Tout d’abord, la conformité consiste à assurer une veille réglementaire, qui correspond à un processus de collecte, d’analyse et de diffusion de l’ensemble des lois et règlements liés à l’activité bancaire et financière. Ensuite, il s’agit également d’assurer une veille opérationnelle, qui consiste en un processus de collecte, d’analyse, et de diffusion des évolutions sur l’ensemble des outils de diffusion de l’information issue de la veille réglementaire, des nouvelles techniques de blanchiments, des outils de gestion des risques de blanchiments et de financement du terrorisme, des techniques et des outils liés à la déontologie. Et enfin, les normes et méthodes, qui désigne un processus dans lequel, le responsable du Département des Risques de Non Conformité définit avec les différentes fonctions opérationnelles concernées et les autres filières, des risques, des procédures, les modes de fonctionnement et les normes assurant la conformité, les méthodes d’évaluation des risques, de « reportages », et de contrôle. Le Comité de Bâle a formulé des propositions spécifiques quant aux modalités de contrôle du risque de non – conformité. En France, le principe du respect de la conformité a été inscrit dans le Règlement CRBF 97/02 du relatif au contrôle interne des banques modifié par l’arrêté du 31 mars 2005, qui visent à accompagner le renforcement des dispositifs de veille et de contrôle de la conformité des établissements de crédit et à en assurer sa reconnaissance nationale et internationale. 64 On ne parle plus d’un risque de conformité mais plutôt d’un « risque de nonconformité ». Le risque de non-conformité est défini par le Comité de Bâle, dans un document consultatif du 27 octobre 2003 « Consultative Document on the Compliance Function in Banks ». Il s’agit du « risque de sanction judiciaire, administrative, et disciplinaire de pertes financières significatives ou d’atteinte à la réputation, qui naît du non respect de dispositions propres aux activités bancaires et financières, qu’elles soient de nature législatives ou réglementaires, ou qu’il s’agisse de normes professionnelles et déontologiques, ou d’instructions de l’organe exécutif prises notamment en application des orientations de l’organe délibérant. » Le Comité de Bâle inclut dans cette définition, outre, la conduite des activités bancaires et financières, les dispositions relatives à la prévention du blanchiment et au financement du terrorisme. b) le risque de blanchiment de capitaux Les banques sont depuis un certains nombre d’années, devenues les plaques tournantes des opérations d’origines criminelles, telles que le blanchiment de capitaux. En effet, premières victimes de ce type de criminalité organisée, elles ont dus déployer de nouveaux moyens pour lutter contre, en élaborant notamment de nouveaux dispositifs de contrôle. 65 Il est nécessaire de préciser ici, le contexte dans lequel cette lutte s’est imposée à tous les établissements de crédits. Il devient coutume de dire que la lutte contre le blanchiment des capitaux dans les banques, est née des divers « scandales » financiers, qui impliquèrent les banques à leur insu. La fonction de conformité a en effet, en raison de l’accroissement de son périmètre d’obligation, (notamment en terme de renforcement du contrôle interne), dû inclure la lutte contre le blanchiment des capitaux, dans ses prérogatives et, depuis les attentats du 11 septembre 2001, la lutte contre le financement du terrorisme. Pourquoi un tel accroissement des obligations dans le périmètre de compétence de la conformité ? Et pourquoi inclure le blanchiment des capitaux dans les prérogatives de la fonction de conformité ? Les réponses à ces questions seront données au fil de l’eau, mais de façon plus significative dans le petit deux de cette sous - partie. Traditionnellement, le blanchiment des capitaux est divisé en trois catégories : Le placement ou « prélavage » est la première phase d’une opération de blanchiment. En effet, elle consiste à convertir les importantes sommes d’argent liquides générées par les activités criminelles (trafics de stupéfiants par exemple), notamment, en transformant l’origine criminelle de ces fonds, sous l’apparence de dépôts, ou encore en achetant des instruments monétaires tels que chèques de voyage, devises étrangères, etc. Ce procédé est incontournable pour aboutir au processus de blanchiment de capitaux. Cependant, cette phase est devenue délicate pour les blanchisseurs car désormais, elle est détectable grâce aux nouveaux dispositifs de contrôle imposés aux établissements financiers par la législation. 66 On pense notamment à toute la législation sur le contrôle interne devenue l’une des préoccupations majeures des autorités de tutelles bancaires. Le règlement 97/02 modifié par l’arrêter du 31 mars 2005, impose aux banques la rédaction de procédures internes ainsi que des diligences à effectuer en matière de lutte contre le blanchiment des capitaux et du financement du terrorisme. De même il a été imposés aux établissements de crédits de réviser leur organisation interne en séparant notamment les différentes fonctions de contrôle de la banque c’est –à – dire entre les contrôles périodiques et les contrôles de permanents. En outre, parmi les 40 Recommandations du Gafi 1 , la recommandation n°15, souligne que les institutions financières devraient mettre en place des programmes de lutte contre le blanchiment d’argent, comprenant : Des politiques, des procédures, et des contrôles internes ; Des dispositifs de contrôle de la conformité et des procédures appropriées lors de l’embauche des salariés, de façon à s’assurer de leur formation et de leur information de façon continue en matière de lutte contre le blanchiment des capitaux et contre le financement du terrorisme ; Un dispositif de contrôle interne pour vérifier l’efficacité du système. Le Règlement du 18 avril 2002 1, quant à lui, renvoie à des règles écrites internes dont chaque établissement de crédit doit se doter en vertu du Règlement CRBF 91/07 du 15 février 1991. 1 Le Groupe d’Action Financière (GAFI) est un organisme intergouvernemental dont le but est de développer et promouvoir des politiques nationales et internationales visant à lutter contre le blanchiment de capitaux et le financement du terrorisme. Le GAFI est donc un organe de décision; fondé en 1989 il s'efforce de susciter la volonté politique nécessaire pour réformer les lois et réglementations dans les domaines de sa compétence. Le GAFI a publié les 40 + 9 recommandations afin de satisfaire ce but. 67 Ces règles doivent décrire « les diligences spécifiques à accomplir aux fins de prévention du blanchiment ». Les obligations des établissements bancaires sont donc de plus en plus nombreuses et parfois contraignantes. Reste à savoir quel risque une institution peut courir pour ne pas les respecter ? Les établissements de crédit et intermédiaires financiers sont sanctionnés par les autorités de contrôle et de tutelle (AMF, Commission Bancaire…), lorsque les règles écrites internes n’existent pas ou sont insuffisantes. Ceci, en application de l’article L.562-7 du Code Monétaire et Financier (CMF) : « lorsque, par suite soit d’un défaut grave de vigilance, soit d’une carence dans l’organisation de ces procédures internes de contrôle, un organisme financier […] a omis de faire les obligations découlant du présent titre, l’autorité ayant pouvoir disciplinaire, engage une procédure sur le fondement des règlements professionnels ou administratifs et en avise le Procureur de la République ». Ensuite, vient l’empilage ou « lavage » qui est la deuxième phase du blanchiment. Elle consiste à multiplier les opérations financière, afin de masquer l’origine criminelle des revenus illégalement acquis, ainsi que l’identité des propriétaires réels et des bénéficiaires économiques. Cette méthode fait aussi appel à l’intervention des établissements financiers, en laissant par exemple entrer des fonds d’origines douteuses, lors de transfert de fonds ou encore, en cas de prêts, garantis par le dépôt d’une somme d’argent équivalente dans les coffres de la banque. L’intégration ou « recyclage » constitue la phase finale du processus de blanchiment d’argent. En effet, une fois placés sur un compte bancaire, les fonds sont introduits dans l’économie légale, par le biais notamment d’investissements. 1 Règlement n° 2002-01 du 18 avril 2002 relatif aux obligations de vigilance en matière de chèques aux fins de lutte contre le blanchiment des capitaux et le financement du terrorisme. 68 Cette phase met de nouveau en avant l’utilisation qui est faite des banques par les blanchisseurs ; en effet, elles disposent du pouvoir de légaliser les fonds par le seul fait de les intégrer dans leur coffre. Le risque de non – conformité et le risque de blanchiment des capitaux étant précisés, il convient à présent de s’interroger sur les liens qu’ils pourraient y avoir entre eux et avec le risque opérationnel. Il s’agit de savoir en quoi ces risques de blanchiment et de non-conformité sont des risques opérationnels. 2) Risque opérationnel, risque de non – conformité et risque de blanchiment : entre convergence et divergence ? La frontière entre ces trois risques n’est pas aisée à faire, et reste pour certains professionnels de la banque, assez théorique. Tout d’abord, la dichotomie n’a pas toujours été entre le risque de non – conformité et le risque opérationnel. En effet, avant le Règlement CRBF 97/02 le risque de non – conformité était une composante du risque opérationnel ; autrement dit il n’y avait pas de distinction explicite entre ces deux risques. Mais depuis les crises financières de ces dernières années mettant en scène les établissements bancaires, est née une volonté chez le législateur d’envisager le risque de non- conformité et le risque opérationnel de façon distincte, comme deux risques à part entière. La question qui se pose alors est de savoir s’il est quand même possible qu’une corrélation quelconque puisse encore exister entre ces risques ? Au regard d’exemples, la réponse à cette question pourra être donnée. 69 Est – il pensable que le risque de non – conformité découle d’un risque opérationnels et vice – versa ? De même un risque de blanchiment de capitaux entraîne – t – il de facto un risque de non – conformité et/ou un risque opérationnel ? En ce qui concerne la première question, le risque opérationnel n’est pas toujours associé à un risque de non – conformité. Mais il est des cas où les deux cohabitent. Autrement dit, il y a risque opérationnel, soit à cause d’un non respect d’une réglementation et donc de la survenance d’un risque de non – conformité ; soit il y a un risque opérationnel tel que défini par le Comité de Bâle II, à savoir «un risque de pertes résultant de l’inadaptation ou de la défaillance de procédures internes, de personnes et de systèmes, ou résultant d’évènements extérieurs ». A titre d’exemple, un risque de défaillance des systèmes informatiques d’une banque, relève purement d’un risque opérationnel, conformément à la définition donnée par le Comité de Bâle II. Il en est de même d’une erreur humaine telle qu’une erreur de saisie d’opérations. Dans ces deux cas il n’y a pas de risque de non – conformité car les risques sont inhérents à l’activité bancaire ; les procédures ont pu être respectées par les collaborateurs, mais les risques opérationnels sont une résultante de la réalisation de l’activité elle-même et non d’une réglementation qui n’aurait pas été respectée. Le risque de défaillance des systèmes informatiques ne peut être prévu. En effet, il est possible que les collaborateurs de l’informatique de la banque aient pris toutes les dispositions nécessaires et se soient conformés à la réglementation, mais une panne du système informatique n’est pas prévisible. Il en est de même pour l’erreur humaine : il est probable que l’établissement bancaire ait diligenté toutes les formations nécessaires à leurs collaborateurs, mais cela n’exclut pas pour autant l’erreur humaine. 70 Cependant, il est des risques opérationnels qui associent un risque de non – conformité. En matière de fraude financière par exemple il s’agit d’un risque opérationnel ayant pour cause une fraude du client (cavalerie, escroquerie…), entraînant un risque de non – conformité si la banque n’a pas effectuée les diligences nécessaires en matière de vigilance et de contrôle des chèques. Même réflexion en matière de versement de pensions alimentaires où la banque a une obligation de résultat ; si elle ne respecte pas les procédures en matière des demandes de versements des pensions il y a un risque de non – conformité. A ce stade, se pose la question de savoir ce qui distingue de façon concrète ces deux risques ? En réalité, deux hypothèses existent : d’une part, le risque de non – conformité est la conséquence du risque opérationnel ; et d’autre part, ces deux risques s’avèrent totalement indépendants. Autre problématique, celle de la corrélation de ces deux risques avec le risque de blanchiment. Le risque de blanchiment de capitaux résulte du fait d’un non respect des procédures en matière de lutte anti – blanchiment ; il peut y avoir dans ce cas, à la fois un risque de non – conformité, mais aussi du risque opérationnel. Pour illustrer ces propos, prenons l’exemple d’une ouverture de compte. Si dans une première hypothèse, le collaborateur de la banque effectue les diligences nécessaires en matière d’ouverture de compte, conformément au Règlement CRBF 97/02 ou tout autres réglementations relatives à la lutte contre le blanchiment telles que les normes « KYC » (know your customer) et que des opérations de blanchiment de capitaux soient décelées, il n’y a pas de non – conformité à proprement parler puisque la réglementation a été respectée. L’inverse entraîne non seulement un risque de non – conformité, mais aussi un risque opérationnel. 71 Le risque de non – conformité résulte du non respect des procédures, notamment, de la connaissance du client ; et le risque opérationnel d’une défaillance dans le suivi du fonctionnement du compte du client (par exemple, s’il s’agit d’un cas de schtroumphage, la non détection par l’outil informatique de telles opérations, en raison d’une inadaptation des outils informatiques). Dans cet exemple, ces risques peuvent parfois être indépendants les uns des autres, ou d’autres fois sont interdépendants. Finalement dans tous ces cas, que ce soit en matière de risque de non – conformité, de risque opérationnel ou en matière de risque de blanchiment, l’absence de maîtrise des ces risques a été à l’origine de nombreuses affaires ayant des impacts tant financiers, que pénales ou encore de réputation ou d’image sur la banque. 72 II – L’absence de maîtrise du risque opérationnel : cause de nombreuses sanctions Depuis ces dernières années, les banques ont du remettre en question leur façon de gérer les risques inhérents à leurs activités. Cette prise de conscience est née suite à des pertes et faillites bancaires dont les causes sont pour la plupart, des défauts de contrôle ou des défaillances dans le management des risques, notamment en terme de risques opérationnels. 73 A – L’exemple de l’affaire du Sentier II L’Affaire du Sentier II, est une illustration significative d’un risque opérationnel, étant assortie d’un risque de non – conformité. En l’espèce, il s’agit d’une affaire de blanchiment de capitaux via des chèques entre la France et l’Israël, qui porte sur des milliards d’euros. L’escroquerie a consisté à la mise en place d’un système de cavalerie sur des chèques qui étaient envoyés en Israël où la législation permet leur endossement contre le versement des sommes en espèces. Ce circuit de blanchiment met en cause les établissements bancaires, renvoyées en tant que personnes morales devant les tribunaux. En effet, quatre banques et 138 personnes ont été renvoyées en correctionnelle dans cette affaire de blanchiment. « Renvoi devant le tribunal correctionnel des personnes mises en examen du chef de blanchiment aggravé et complicité de blanchiment : le caractère frauduleux des fonds constitutifs d’abus de biens sociaux qui ont alimenté les comptes des 1 sociétés X » . Par ailleurs, le PDG d’une des banques, comparaît en tant que prévenu avec plusieurs cadres de la banque pour blanchiment aggravé 2. Ici en quoi a consisté le risque opérationnel ? 1 Extrait de l’Ordonnance de Règlement de renvoi en correctionnel desdites banques. 2 Le blanchiment est le fait de faciliter, par tout moyen, la justification mensongère de l'origine des biens ou des revenus de l'auteur d'un crime ou d'un délit ayant procuré à celui-ci un profit direct ou indirect. Constitue également un blanchiment le fait d'apporter un concours à une opération de placement, de dissimulation ou de conversion du produit direct ou indirect d'un crime ou d'un délit. 74 Ce qui est essentiellement reproché aux établissements bancaires, est un manque de vigilance et une défaillance dans leur dispositif de contrôle qui, étaient soit insuffisants, soit inadaptés. De plus, un non respect des procédures en matière de lutte contre le blanchiment d’argent est aussi reproché, notamment à l’un des prévenus qui « avait connaissance de ce caractère frauduleux, mais qui n’aurait rien fait pour y mettre fin, ni alerter les services de lutte anti – blanchiment » 1. En l’espèce, le risque opérationnel résulte d’une défaillance dans les dispositifs de contrôle et en un défaut de vigilance de suivi des fonctionnements des comptes bancaires des différentes sociétés implantées à la rue du Sentier. De même, les systèmes informatiques des banques étaient inadaptés aux dispositifs de lutte anti – blanchiment car ils n’ont pas permis de détecter les opérations douteuses de blanchiment ainsi que le caractère grossier des chèques falsifiés 2. En ce qui concerne la connaissance de la banque du caractère frauduleux des circuits financiers, le risque opérationnel relève de la catégorie de la négligence et du manque de formation et d’information des collaborateurs de la banque en matière de vigilance en terme de lutte anti – blanchiment : le système étant défaillant et insuffisant, ceci a contribué à faciliter les opérations de blanchiment. 1 Extrait de l’Ordonnance de Règlement de renvoi en correctionnel desdites banques. 2 Des chèques à l’ordre de l’Urssaf volés lors d’une grève des postes, ont été « recyclés » au bénéfice d’un citoyen bulgare dénommé Urssafi… 75 B – D’autres exemples significatifs Pas toujours apparent, ou, indirectement identifiable, le risque opérationnel est responsable de nombreuses défaillances dans les établissements de crédit. 1) L’exemple de la Barings L’effondrement de la Barings a constitué la faillite de l’institution bancaire la plus ancienne du Royaume Uni 1. La Barings s’est effondrée car elle n’a pas pu assumer les engagements financiers pris sur les marchés financiers au nom de la banque par son trader Nicolas Leeson. Il faisait croire au siège de la Barings qu’il réalisait des bénéfices alors qu’il agissait au-delà de son autorisation en prenant des positions à découvert dépassant des montants autorisés (son statut de responsable de Back Office et de trading lui ont facilités l’exécution de ces opérations) et cachait ses engagements dans un compte transit « Error Account – 88888 ». Il avait compromis sa banque sur deux types de contrats : une position "long 2 " pour une valeur totale d'environ 7 milliards de dollars en dérivés sur des valeurs japonaises à rendement variable; mais surtout une position "short 3" pour environ 20 milliards de dollars en dérivés sur des taux d'intérêts eux-mêmes conditionnés par l'évolution de l'indice Nikkei 4. Cela signifie que Nicolas Leeson était sorti de 1 Crée en 1762 par Francis Baring – banque initialement destinée à la négoce de la laine. 2 Être "long", pour un spéculateur, consiste à faire le pari que le prix de quelque chose va monter. 3 Être "short" consiste à parier que le prix de quelque chose va baisser. 4 Indice de bourse Japonais. 76 son mandat qui était d'arbitrer les cours entre les bourses de Singapour et du Japon, et qu'il s'était lancé dans la spéculation pure. Son pari était que le l'indice Nikkei monterait, ce qui ferait baisser les taux d'intérêts. Mais il ne pouvait pas prévoir le tremblement de terre de Kobé et ses conséquences financières. Persuadé que le marché allait se redresser rapidement, il s’était entêté et paria davantage pour couvrir les premières pertes. À l'encontre de toutes les règles de l'arbitrage, il utilisa toutes ses ressources pour acheter de nouveaux contrats au lieu de se couvrir avec des contrats inverses. Une accumulation de ces pertes, une fois découvertes, conduisit les dirigeants de la Barings sous la pression de la Banque d’Angleterre, à céder l’établissement pour une livre symbolique à la Banque ING. Cette faillite illustre quelles peuvent être les conséquences du risque humain en terme de risques opérationnels. Les activités de cet employé ne faisaient l’objet d’aucune surveillance. En effet, il assurait deux fonctions à la fois : le "front desk", responsable des opérations, et le "back office", responsable de l'évaluation quotidienne des engagements pris, c'est-à-dire de l'ampleur des risques encourus. En d'autres termes, c’est lui – même qui assurait la surveillance de ses risques. 2) L’exemple Sumimoto L’exemple de Sumitomo est considéré comme la plus grande perte commerciale dans l'histoire, plus grande que les 1.1 milliards de dollars de Daiwa ou les 1.3 milliards de dollars de Barings. Sumitomo achetait 800 000 tonnes de métal par an, les vendant aux filiales et aux marchés en plein essor en Asie du Sud-Est, la plupart de ces ordres ayant été passés par monsieur Hammanaka. Cette société a été conduite dans le secret par Hammanaka qui a outre passé ses limites en effectuant des échanges non autorisés. Ses propres transactions secrètes étaient cachées dans un compte confidentiel ou il a transféré toutes ses pertes. 77 Les doutes sur le risque qu'il a présenté étaient déclarés par un auditeur interne de la compagnie qui a découvert une transaction non autorisée pour laquelle les fonds ont transité par une banque étrangère anonyme. Ceci était favorisé quand les autorités de surveillance et de contrôle au Etats Unis et en Grande Bretagne ont demandé à Sumitomo de coopérer à une recherche sur la manipulation suspectée des prix. Les pertes subies par Sumitomo peuvent être expliquées par le fait que Hammanaka disposait d'une autonomie peu commune dans l'organisation. En plus d’être célèbre en raison des affaires et les bénéfices qu'il apportait au moins sur le papier, son expertise et sa spécialisation l'ont favorisé pour son maintien dans la section cuivre sur le marché des matières premières, personne n’osant examiner attentivement ses transactions. Beaucoup de responsabilités lui ont été confiées par la compagnie. La révélation des pertes annoncées par son président a provoqué un séisme au niveau des marchés internationaux entraînant une baisse d'environ 10 % du prix du cuivre sur les marchés de Londres et New York City. Ses pertes totales étaient estimées à 2.6 milliards de $. D'après les affaires précitées, il est concevable de dire que l'origine de ces déficits ne relève ni de défaillances des créanciers, ni de pertes sur les marchés en raison d'une fluctuation d'un taux d'intérêt ou d'une volatilité sur les marchés de change. Les pertes n'étaient pas liés en fait aux risques bancaires classiques mais plutôt à l'égarement, à la malhonnêteté, aux dépassements d'autorisations et aux faits de personnes qui se sont laissées déborder dans des situations hautement complexes. En d'autres termes ils résultaient de l'erreur humaine, et d'un management trop confiant. 78 Ceci ressort donc à des risques opérationnels, d’une part à un risque de défaillance interne et d’autre part à une déficience en matière de contrôle interne dont les principes de base ont été ignorés telles que la séparation des pouvoirs, la ségrégation de tâches, la supervision des employés et la fixation des limites. 79 2éme partie : La cartographie des risques opérationnels permet de renforcer le contrôle interne des banques 80 Cette deuxième partie sera traitée sur la base d’un retour d’expérience effectuée au sein d’un établissement bancaire qui est la BRED, du Groupe BANQUE POPULAIRE. La BRED est la plus importante banque régionale du Groupe Banque Populaire. Elle est établie en Ile-de-France, en Normandie et Outre-Mer. Banque coopérative, participant au dynamisme du tissu économique local, elle se développe en gardant vivantes les valeurs qui fondent son identité : la proximité, la dimension régionale, la solidarité, la responsabilité. Ses 112 000 sociétaires détiennent le capital de 257 125 000 euros. Ce statut lui permet d’inscrire ses choix dans la durée. 3 418 collaborateurs sont mobilisés sur des projets porteurs d’avenir, plaçant au cœur de sa stratégie la satisfaction des clients : 655 000 particuliers, 56 000 professionnels, 20 000 associations et plus de 6000 entreprises et institutionnels. Elle déploie ses activités de façon équilibrée entre la banque de proximité en métropole, la banque de proximité Outre-Mer et la banque de grandes entités économiques, en particulier pour la gestion des flux où elle est reconnue comme un intervenant de premier plan. Quelques chiffres clés : Produit net Bancaire 609,5 millions d’euros Dépôts monétaires 7,2 milliards d’euros Crédits clientèle à la 7,4 milliards d’euros La BRED développe une stratégie de proximité, elle a mis l’accent sur l’essor de son réseau et le renforcement des responsabilités de ses directeurs régionaux. 81 Plus de 3 000 points de vente maillent son territoire : agences de proximité, agences spécialisées dédiées à la gestion patrimoniale, centres d’affaires destinés aux entreprises (petites et moyennes). Ils sont relayés pour le confort de leurs clients par l’ensemble des moyens modernes de communication : plates-forme téléphoniques et site Internet. La BRED est fortement ancrée dans ses régions, partenaire de longue date des chambres de commerce et des chambres des métiers, acteur du cautionnement mutuel au travers des SOCAMA, la banque a acquis une très bonne connaissance des attentes du monde professionnel. Elle accompagne ses clients artisans, commerçants, professions libérales, agriculteurs avec des offres déclinées par métiers, et pour certaines d’entres elles, construites en partenariat avec des organismes professionnels. Leader dans l’envoi des paiements en grand nombre et forte de 40 ans d’expérience dans la gestion des recouvrements et paiements en masse, la BRED est un acteur majeur dans ces domaines. Partenaires de référence de nombreuses caisses de retraite, elle est aussi reconnue par la grande distribution et les Sociétés de Service Public pour la mise en œuvre de solutions sophistiquées de gestion des flux classiques ou dématérialisées. Créé par et pour les entrepreneurs, le Groupe Banque Populaire est resté fidèle à ses engagements d’origine : stimuler les initiatives et l’esprit d’entreprise. Des engagements qui sont plus que jamais d’actualité. Le Groupe Banque Populaire s’organise autour de 3 dimensions : une dimension coopérative représentée par les Banques Populaires, maisons mères du Groupe ; une dimension fédérale assurée par la Banque Fédérale des Banques Populaires, organe central du Groupe Banque Populaire ; 82 une dimension capitalistique à travers Natexis Banques Populaires et ses filiales, côté sur l’Eurolist Paris. Proche de ses clients, à la fois par la densité de son réseau et sa capacité d’écoute des différents marchés, le Groupe Banque Populaire détient une place de leader dans de nombreux domaines. Banque des entrepreneurs dès sa création, le Groupe Banque Populaire est aujourd’hui capable d’être à la fois généraliste et spécialiste afin de répondre aux attentes de chacun de ses marchés. Le Groupe Banque Populaire reconnaît comme principes d’action trois valeurs fondamentales : L’AUDACE : fondé par des entrepreneurs au service des entrepreneurs, le Groupe Banque Populaire cultive l’envie d’entreprendre. Il aime mettre en mouvement l’énergie créatrice de ses clients et collaborateurs. Il respecte le courage, la ténacité et l’enthousiasme des porteurs de projets professionnels ou de projets de vie. L’audace d’entreprendre implique l’optimisme, elle fait progresser constamment. LA COOPERATION : son histoire, son fonctionnement, son expérience quotidienne, illustrent l’aptitude du Groupe Banque Populaire à faire vivre la coopération. La coopération, c’est agir ensemble pour gagner ensemble, en assumant toutes ses responsabilités à l’égard du partenaire et de la société. Acteurs majeurs de la vie économique, solidaires de leur région, les Banques Populaires sont également solidaires entre elles. L’HOMME : le Groupe Banque Populaire s’est construit sur le respect des parcours de vie, des sensibilités, des attentes, des particularités de ses clients et partenaires. 83 Les Banques Populaires, Sociétés anonymes coopératives, sont les maisons mères du Groupe. Elles regroupent : 19 Banques Populaires régionales la CASDEN Banque Populaire qui s’adresse aux personnels de l’Education nationale, de la Recherche et de la Culture le Crédit Coopératif , acteur majeur du domaine de l’économie sociale. Elles appartiennent à plus de 2,89 millions de sociétaires et incarnent l’esprit coopératif au quotidien. De leurs origines, les Banques Populaires ont conservé la pratique d’une véritable activité régionale. Ce sont des banques de proximité, proches de leurs clients, de leurs sociétaires et des multiples acteurs de l’économie régionale, elles sont pleinement engagées dans la réussite économique et humaine du territoire sur lequel elles sont implantées. Toutes entretiennent des relations étroites avec les organisations socioprofessionnelles locales et les organismes consulaires où siègent bon nombre de leurs administrateurs. Première des banques de proximités, le réseau des Banques Populaires ne cesse de s’agrandir. Il compte 2 757 agences depuis l’arrivée du Crédit Coopératif début 2003. Mais cette proximité se décline aussi à travers tous les canaux de relations à distance : centre d’appel, banque en ligne, télétransmission. Le statut coopératif du Groupe Banque Populaire, introduit par la loi du 10 septembre 1947, est une richesse stratégique et un atout de conquête. 84 Les Banques Populaires font l’objet de plusieurs dispositions du Code Monétaire et Financier telles que l’article L511-30 pour ce qui concerne les organes centraux ; les articles L512-2 et suivants pour les dispositions générales sur les Banques Populaires. La Banque Fédérale des Banques Populaires réunit les fonctions d’organe central au sens de la Loi Bancaire, de gestion des excédents de trésorerie des Banques Populaires et de Holding de Natexis Banques Populaires dont elle détient 75 % du capital. La Banque Fédérale des Banques Populaires La Banque Fédérale des Banques Populaires est une banque à part entière. Elle est la propriété de l’ensemble des Banques Populaires. Elle exerce les missions de stratégie, de contrôle, de coordination et d’animation du Groupe tout entier. Son conseil d’administration, composé de dirigeants des Banques Populaires, est l’instance de décision du Groupe. Elle est fédérateur du développement. En effet, la Banque Fédérale des Banques Populaires a pour rôle de faire éclore les projets, de s’assurer de leur faisabilité globale avant d’en transférer la mise en œuvre opérationnelle aux autres structures du Groupe. Force de proposition, elle intervient dans le recherche et la préparation de toutes les décisions stratégiques qui engagent l’avenir du Groupe. La Banque Fédérale est garante de la solvabilité du Groupe. Cette garantie repose sur l’intégralité des fonds propres des établissements du réseau par un mécanisme de solidarité interne. Grâce à ce dispositif, la Banque Fédérale des Banques Populaires peut mettre en œuvre la solidarité de l’ensemble des 85 Banques Populaires en appelant auprès d’elles, dans la limite de leurs fonds propres, les concours financiers nécessaires. MA Banque et i-BP sont deux filiales de la Banque Fédérale de la Banque Populaire. La première est une banque de particuliers. Elle s’appuie sur deux pôles d’activité : son réseau de 24 agences en site au sein de grandes entreprises et la banque à distance sur des segments de clientèles. La seconde a pour objectif de fédérer les plates-formes informatiques des Banques Populaires afin de construire un système adapté aux futurs enjeux de la distribution en matière de produits et services bancaires. Natexis Banque Populaire Fort de plus de 12 700 collaborateurs et de 155 implantations dans le monde, le véhicule côté du Groupe Banque Populaire construit avec ses clients (entreprises grandes et moyennes, clientèles institutionnelles, réseau des Banques Populaires) une relation de partenariat dans la durée, tant au plan national qu’international. Acteur majeur des activités de financement, Natexis Banques Populaires est présent auprès de la quasi-totalité des plus grandes entreprises françaises. Avec se filiale Coface, il figure parmi les leaders mondiaux de l’assurance-crédit et des services de crédit management. Il est l’un des principaux intervenants en matière de capital-investissement, d’ingénierie financière et joue un rôle actif dans l’intermédiation sur les marchés de capitaux. Il se situe également au premier rang des prestataires de services à fort contenu technologique. Bancassureur, gestionnaire d’actifs reconnu, il est le leader en France en épargne salariale. 86 Quelques chiffres : 2 708 M€ produit net bancaire 407 M€ résultat net part du groupe 117 implantations à l’étranger 12 786 collaborateurs L’avenir du Groupe Banque Populaire : NatIxis NatIxis est un projet ambitieux et novateur aux dires du Groupe. Une période de négociations exclusives a débuté le 12 mars 2006. Le 6 juin 2006, le Président du Groupe Banque Populaire et le Président du Directoire de la Caisse Nationale des Caisses d’Epargne ont signé le protocole d’accord définissant les modalités de création de leur filiale commune : NatIxis. Celle-ci regroupera leurs activités de banque de financement, d’investissement et de services. Le 6 juillet, un comité de pilotage a d’ailleurs été institué. En tant que banque de financement et d’investissement, NatIxis, sera la quatrième acteur français, et le 15 ème groupe mondial dans la gestion d’actifs. Les deux groupes représentent 20% du marché de la banque de détail en France. Les complémentarités sont prometteuses, malgré des doublons dans quelques métiers. Le nouvel ensemble doit voir le jour le 1 er janvier 2007. 87 J’ ai effectué un stage au sein de cet établissement, et plus précisément à la Direction des Risques Opérationnels. J’ai participé à l’élaboration de la cartographie des risques opérationnels. La démarche répond à celle qui sera exposée dans cette partie, plus précisément, dans le chapitre qui suit. Le but de cette partie n’est pas de détailler la mission qui m’a été confiée au sein de la BRED ; cependant, j’illustrerai mes propos à l’aide d’exemples tirés de ma mission, en intégrant en filigrane la démarche de la BRED 88 Chapitre 1 : Comment la cartographie des risques opérationnels permet de se doter d’un cadre commun de maîtrise des risques ? I – La démarche de la cartographie des risques opérationnels La cartographie des risques opérationnels répond à une démarche qui consiste à identifier l’ensemble des évènements des risques1 pouvant survenir sur une activité donnée. Pour se faire, et dans un soucis d’exhaustivité, il convient en premier lieu de découper les activités de la banque en processus2. Les évènements à risques sont associés à chaque processus générique. Dans cette étape, on cherche à identifier tous les évènements à risques qui peuvent se produire lors d’un processus et qui pourraient avoir des conséquences sur son déroulement. Certains évènements types peuvent se retrouver comme évènements à risques dans un grand nombre de processus, par exemple l’erreur humaine ou l’interruption du système d’information. La démarche d’identification des évènements à risques peut se faire selon plusieurs approches qui associeront plus ou moins les opérationnels. Une approche souvent retenue dans les banques, notamment à la BRED, est l’approche BOTTOM – UP qui consiste à interroger les collaborateurs des différents services de la banque pour qu’ils déterminent à dire « d’experts » les processus sur lesquels touchent leurs activités, ainsi que les risques qui y sont associés. 1 Un événement à risque correspond à la survenance d’un risque telle que définie par la réglementation Bâle II. 2 Un processus est une suite continue de faits, de phénomènes présentant une certaine unité ou une certaine régularité dans leur déroulement (processus social, de croissance…).Les processus permettent à l’entité de pouvoir inclure ses spécificités locales dans le découpage de son activité. 89 A – Recenser les activités et les risques associés Il s’agit dans un premier temps, d’identifier et segmenter les activités de la banque. Ce découpage répond tout d’abord à une problématique organisationnelle, mais également à une logique projet. Ainsi, dans le cas de la réglementation Bâle II et de dans le cadre de la BRED notamment, les activités des établissements de crédits sont appréhendées selon différentes lignes de métiers, transposées dans un référentiel national défini par Bâle II, et un référentiel BANQUES POPULAIRES pour la BRED. 90 TABLEAU DU REFERENTIEL NATIONAL DE DOMAINES ET SOUS -DOMAINES DOMAINES SOUS-DOMAINES Commentaire Selon type clientèle (retail ou corporate) Selon type clientèle (retail ou corporate) Selon type clientèle (retail ou corporate) Inclus le traitement des remises d'effets, la gestion des impayés, les LCR, les effets commerciaux, les billets à ordre, etc. (Sont exclus les billets de trésorerie). Retail banking / Commercial banking Selon type clientèle (retail ou corporate) Prélèvements Inclus les prélèvements émis et les prélèvements reçus. Chèques Effets Monétique porteurs Espèces Change Paiements de masse Accès au système de place Concerne les opérations cartes avec les commerçants. Inclus l’encaissement des opérations CB, la gestion du parc de TPE, etc. Concerne les opérations cartes avec la clientèle de détail. Inclus le paiement des opérations CB, les oppositions sur cartes, etc. Inclus les retraits ou les versements d'espèces, la gestion des flux ou du stock, etc. Inclus l’échange de devises. Inclus les transferts effectués par la BRED, gestion des flux de règlement de masse, etc. (paiements de masse nationaux et internationaux) Inclus les mécanismes de compensation (i.e. la sous-traitance moyens de paiement des banques au sein de NBP) Retail banking Retail banking Retail banking Retail banking Payment & settlement Activité spécifique BRED et NBP pour sa clientèle propre Payment & settlement Activité spécifique NBP Payment & settlement Activité spécifique NBP Centralisation et autorisation des flux monétiques Inclus la gestion des serveurs d’autorisation pour les paiements, etc. Moyens de paiement internationaux Inclus les transferts de fonds, les rapatriements de fonds, la remise documentaire, Retail banking / etc. Commercial banking Echanges de données informatisées Inclus l’adhésion au contrat, la mise à disposition du logiciel, etc. hors transfert de masse Retail banking / Commercial banking Autres moyens de paiement Inclus les tickets restaurants, les chèques vacances, etc. Retail banking Assurance-vie Inclus la souscription des produits d'assurance-vie, le traitement des sinistres, etc. Retail banking Epargne monétaire EPARGNE Inclus les encaissements et paiements sur chèques, les chéquiers émis, les oppositions sur chèques, etc. LIGNE METIER BALE Retail banking / Commercial banking Retail banking / Commercial banking Retail banking / Commercial banking Inclus les virements émis et les virements reçus. Monétique commerçants MOYENS DE PAIEMENT DEFINITION Virements Parts sociales Inclus la gestion du compte, l'ouverture, le transfert et la clôture de comptes d’épargne, la gestion des aspects réglementaires, etc. (hors TCN émis par la banque pour les Corporate cf. Marchés/Trésorerie) Inclus la gestion du compte, la souscription, le transfert, le rachat de parts sociales, le paiement des intérêts, etc. Retail banking / Commercial banking Selon type clientèle (retail ou corporate) Selon type clientèle (retail ou corporate) Selon type clientèle (retail ou corporate) Retail banking Epargne salariale Inclus la mise en rapport avec Interépargne. Retail banking / Commercial banking Selon type clientèle (retail ou corporate) Epargne financière Inclus les ouvertures, les transferts et les clôtures de comptes titres, la gestion des Retail banking / aspects réglementaires, etc. (= la tenue de compte titres au sens large, les Commercial banking passages d'ordres sont inclus dans le domaine Métier Titres) Selon type clientèle (retail ou corporate) Crédits particuliers Crédits professionnels Inclus l'instruction, la réalisation, la surveillance, le contentieux, etc. Inclus l'instruction, la réalisation, la surveillance, le contentieux, etc. Inclus les mobilisations de créances commerciales (Dailly, escompte, import, export, etc.) Retail banking Retail banking / Commercial banking Selon type clientèle (retail ou corporate) Retail banking / Commercial banking Selon type clientèle (retail ou corporate) Retail banking / Commercial banking Retail banking / Commercial banking Selon type clientèle (retail ou corporate) Selon type clientèle (retail ou corporate) Inclus l'instruction, la réalisation, la surveillance, le contentieux, etc. ENGAGEMENTS Crédits entreprises Inclus les mobilisations de créances commerciales (Dailly, escompte, import, export, etc.) Inclus les rôles de participant à une syndication ou un financement d’actifs. SERVICES ET CONSEIL Crédit bail & location financière Inclus l'instruction, la gestion des loyers impayés, etc. Affacturage Inclus la souscription d’une offre d’affacturage, etc. Distribution d'assurance IARD / Prévoyance Inclus les souscriptions, résiliations, sinistres, la gestion des impayés, etc. Gestion privée Inclus la gestion sous mandat (patrimoine), la réalisation d’étude patrimoniale, etc. Retail banking Intermédiation immobilière Inclus la recherche et la commercialisation de biens immobiliers pour les clients. Gestion de la trésorerie d'entreprise Inclus la gestion sous mandat de trésorerie d'entreprise corporate. corporate Assurance crédit Gestion des postes clients pour le compte de tiers Fusions acquisitions Inclus les mandats de conseil à l’achat ou à la vente Inclus les introductions en bourse, augmentations de capital, émissions obligataire, Marché primaire placements de blocs, etc. Accompagnement bancaire à Offre filiale Pramex l'international Gestion de la relation et des comptes clients Retail banking Retail banking Asset management Commercial banking Corporate Finance Corporate Finance Corporate Finance Inclus la création d’un prospect, l’ouverture de compte courant, la clôture, la saisie Retail banking / attribution, les extournes, la location de coffre-fort, la centralisation pour client du Commercial banking Groupe, les successions, la gestion des conventions de service (i-BP), etc. Selon type clientèle (retail ou corporate) 91 Tableau des typologies d’événements de risque : FAMILLES CATEGORIES SOUS-CATEGORIES Interruption d'activité, défaillance des Sécurité de l'information et des systèmes systèmes Saisie, exécution et livraison des opérations Reporting et pilotage SYSTEMES ET PROCESSUS Exécution, livraison et management des processus Admission de client et documentation Gestion de comptes clients Tierces parties prenantes à la réalisation d'opérations commerciales Fournisseurs de biens et services Dommages aux biens Désastres et autres événements Vol et fraude FRAUDE ET RISQUES EXTERNES Fraude externe Systèmes de sécurité Activité non autorisée Fraude interne Vol et fraude Gestion des ressources humaines Gestion des ressources humaines et sécurité du travail Sécurité de l'environnement Discrimination Pratiques inappropriées (non-respect du bien fondé ou du secret bancaire, divulgation d'information) JURIDIQUE ET DEONTOLOGIQUE Pratiques ou activités commerciales inadaptées Clients, produits et pratiques commerciales Défauts produits Sélection des clients, garantie et exposition aux risques Activité de conseil Positionnement sur les marchés STRATEGIQUES Risque de positionnement Gouvernement d'entreprise Moyens humains Management de la gestion sociale 92 Ce premier cadre étant posé, il convient de découper plus précisément chaque activité selon une logique processus. C’est cet éventail de processus qui va permettre d’appréhender ensuite les différentes activités selon une optique risques. En effet, pour chaque processus il convient de se poser la question des différents risques opérationnels associés. Dans le cadre de cette démarche, un risque correspond à l’enchaînement suivant : une cause, un événement, des conséquences. Cause Evènement Conséquences Un risque représente le dysfonctionnement d’un processus à un instant T. Selon le Comité de Bâle, le risque opérationnel est un « risque de pertes résultant de carences ou de défaillances attribuables à des procédures, personnels et systèmes internes ou à des événements extérieurs. » Le référentiel de risques, fourni précédemment, regroupe des dysfonctionnements possibles auxquels peut être confrontée l’entité bancaire : Exemples : Absence ou erreur d’enregistrement ou de saisie des données, vol de documents justificatifs, délit technologique, récupération inexistante ou incomplète des documents justificatifs, etc. 93 Des travaux d’homogénéisation et de reformulation ont été conduit sur cette liste afin d’éviter la confusion avec les causes ou les conséquences mais également afin que le positionnement du risque sur l’opération victime de dysfonctionnement au sein du processus apparaisse clairement. Le référentiel de risques national présenté constitue un guide pour la formulation et la construction des événements de risques. Les étapes suivantes de constitution d’un événement de risque résident en la détermination de la cause et des conséquences de l’occurrence d’un risque. La cause d’un risque représente l’élément sur lequel il est possible d’agir afin d’empêcher l’occurrence du risque ; elle est l’élément générateur de ce dernier. Les causes sont classées selon le découpage suivant : Acteurs (à l’origine du risque) Client Prestataire Tiers Interne (Agence / Siège) Ressource (à l’origine du risque) Système d’information (software et hardware) Matériel (Trieuse chèque, scanner, TPE, etc.) qualification à savoir : d’une part, s’il s’agit de la malveillance et d’autre part, s’il s’agit d’une défaillance ou d’une inadéquation. Ces catégories, avec leur qualification, constituent le référentiel national utilisé par toutes les entités, notamment du groupe BANQUE POPULAIRE. 94 Néanmoins, pour des besoins de gestion efficace du risque, une cause locale plus détaillée est ajoutée. Cette cause locale permet, au libre choix de chaque établissement, d’effectuer des analyses plus précises de l’origine des risques et d’en améliorer ainsi leur maîtrise. Par exemple, le nom du prestataire à l’origine d’un risque peut être associé à la cause du référentiel national : Cause référentiel national Prestataire Qualification Inadéquat ou défaillant Cause locale Transporteur de fonds (ou nom de la société) De même, le nom du service à l’origine d’une erreur humaine peut compléter la cause nationale : Cause référentielle nationale Interne Qualification Inadéquat ou défaillant Cause locale Service Chèques Une conséquence est un effet provoqué par la survenance d’un risque. Elle peut appartenir à deux catégories : Financières : Pertes : perte financière directe Manque à gagner : perte financière indirecte 95 Qualitatives : Réglementaire : pénalités, amendes ou retraits d’agréments Juridique : assignation civile ou pénale Humain et social : santé, sécurité des employés ou climat social Risque d’image : impact médiatique Insatisfaction client : dégradation des services fournis aux clients Impact risque de crédit : augmentation de la probabilité de défaut ou des pertes après défaut Impact risque de marché : augmentation de la volatilité ou exposition au marché Interruption de processus : déroulement du processus stoppé. Chacune de ces causes est précisée selon les circonstances (contexte intentionnel ou pas) et au moyen de qualifications. En effet, pour chaque risque, on s’intéresse à sa qualification à savoir, s’il s’agit de « la malveillance » ou de « la défaillance ou d’une inadéquation » ; ces qualifications sont distinctes, pour lesquelles il y a des actions différentes. En effet, en ce qui concerne la malveillance, elle émane d’une personne, que ce soit d’un client (on parlera généralement de fraude externe) ; ou bien il peut s’agir d’un collaborateur de la banque (auquel cas, on parlera de fraude interne). Quant à la défaillance, il peut s’agir par exemple d’une défaillance des systèmes informatiques, interrompant la continuité des activités d’un service. Enfin, l’inadéquation peut concerner un des outils informatiques devenu obsolète et ne permettant plus de répondre aux besoins de l’activité. Un même risque peut compter plusieurs conséquences. Toutefois, l’objectif est de sélectionner que les conséquences directes induites par l’occurrence d’un risque, tout en écartant les conséquences indirectes ou contingentes. 96 Dans un premier temps, les conséquences qualitatives seront sélectionnées sans être évaluées. Ultérieurement, lors de l’évolution du dispositif, des échelles d’évaluation chiffrées pourront être définies pour les conséquences qualitatives qui peuvent l’être. Ainsi l’identification et la formulation des évènements de risques consistent en un découpage d’un événement de risques en cause, risque et conséquence(s) permettant de faciliter sa cotation, et en utilisant la cause pour évaluer la fréquence, et la (ou les) conséquence(s) pour évaluer la sinistralité. Les événements de risques sont classés au sein d’une typologie nationale comprenant quatre grandes familles (systèmes et processus, fraudes et risques externes, juridique et déontologique, stratégiques) découpées chacune en catégories et sous catégories. Exemple 1 : Famille Systèmes et processus Catégorie Exécution, livraison et management des processus Sous-catégorie Saisie, exécution et suivi des opérations Exemple 2 : Famille Catégorie Fraude Fraude et risques externes interne Sous-catégorie Activité non autorisée Cette typologie correspond à celle définie par le Comité de Bâle. Cette liste couvre de façon exhaustive tous les types d’événements auxquels l’entité peut être confrontée. L’affectation d’un évènement de risque au sein d’une catégorie s’appuie sur les éléments cause et risque d’un événement de risque. 97 Exemple 1 : Cause Tiers / Malveillant Risque Vol de valeurs => Classification dans la catégorie « Fraude externe » Exemple 2 : Cause Système d’information / Inadéquat ou défaillant Risque Divulgation d’informations confidentielles => Classification dans « Systèmes d’information » Exemple 3 : Cause Système d’information inadéquat ou défaillant Risque Perte de documents justificatifs => Classification dans « Saisie, exécution et livraison des opérations » La typologie des événements de risques et le référentiel de risques constituent des supports afin de guider respectivement l’identification puis la formulation des événements de risques. L’identification des événements de risques s’appuie sur l’expertise, la connaissance et l’expérience des opérationnels. Sous forme d’auto évaluation, elle consiste pour l’opérationnel à parcourir l’activité définie au sein d’un processus par ses principales étapes et à identifier, à l’aide de la typologie nationale des événements de risques, les aléas qui pourraient remettre en cause le bon fonctionnement du processus. La typologie nationale couvre tous les types d’événements de risques auxquels l’entité peut être confrontée, elle constitue donc une « grille de lecture » facilitant leur identification. Une fois identifié, l’événement de risque est formalisé et découpé en éléments prédéfinis : risque, cause et conséquence(s). 98 Par exemple : Au sein du domaine « Engagement » Du sous domaine « Crédit particuliers » Du processus « Instruction d’un crédit » L’opérationnel, en parcourant la typologie d’événement de risques, identifie au sein de la catégorie « Saisie, exécution et livraison des opérations » un risque de perte des documents justificatifs lors de la constitution des dossiers. 99 B – Identifier et évaluer les risques les risques opérationnels Une fois les différents évènements de risques identifiés sur chaque activité, l’objectif de la cartographie des risques opérationnels, consiste à les évaluer. Cette étape aussi appelée « cotation » s’articule autour de deux informations principales : la survenue du risque confrontée aux pertes financières. Cette étape permet de hiérarchiser les événements de risques afin d’en isoler les majeurs, et donc, de les prioriser, et d’instaurer un suivi quotidien et les actions à mettre en œuvre. Il faut noter que les conséquences les plus qualitatives sont aussi prises en compte dans l’appréciation des risques pilotés. L’approche est découpée en deux temps : Tout d’abord, la cotation historique s’effectue à dire d’expert. En effet la cotation de la fréquence historique répond aux questions : l’événement de risque est-il déjà survenu ? Si oui, combien de fois dans le passé ? Alors que la cotation de la sinistralité historique répond à la question : quel coût la survenance de l’événement de risque engendre-t-elle en moyenne (sur un seul événement) ? Enfin, il faut retenir un « Scénario défavorable »: de par le passé, dans une situation très défavorable, la survenance de l’événement de risque a-t-elle engendré un coût exceptionnel ? La cotation prospective s’effectue aussi à dire d’experts, c’est – à – dire sur déclarations des collaborateurs. Ainsi, la cotation de la fréquence prospective répond à la question : combien de fois l’événement de risque pourrait-il survenir dans les 12 prochains mois (contrainte réglementaire) ? Pareillement la cotation de la sinistralité prospective, est également faite et pour laquelle il faut répondre à la question suivante : quel serait le coût induit par la survenance de l’événement de risque dans le futur (sur un événement) ? 100 Enfin, il faut aussi envisager un « Stress scénario » : cela revient à se poser la question suivante : en cas de scénario catastrophe dans le futur (environnement très défavorable), quelle serait la sinistralité maximale encourue ? La cotation doit tenir compte du dispositif de contrôle ; elle porte sur des événements de risques nets, c’est – à – dire, incluant l’appréciation de l’efficacité du dispositif de contrôle par l’opérationnel. Parallèlement à la cotation des événements de risques, l’opérationnel évalue la qualité du dispositif de contrôle mis en place au sein de ses processus. Le dispositif de contrôle est donc coté indépendamment de l’événement de risque. Les échelles de cotation retenues pour la survenance « avérée ou potentielle » des risques opérationnels sont les suivantes : Moins d’une fois tous les 5 ans Moins d’une fois par an Quelques fois par an (entre 1 et 15 fois par an) Quelques fois par mois (entre 16 et 50 fois par an) Quelques fois par semaine (entre 51 et 350 fois par an) Quelques fois par jour (plus de 350 fois par an) De même, une cotation pour la sinistralité des risques opérationnels, c’est – à – dire pour leur coût, a également été retenue : Moins de 1 K€ De 1 à 10 K€ De 10 K€ à 100 K€ De 100 K€ à 1 M€ De 1 M€ à 10 M€ Plus de 10 M€ Il est à noter que le niveau de sinistralité est évalué pour un seul événement de risque. 101 Ensuite, la question du dispositif de Contrôle se pose, il s’agit là aussi d’établir une échelle d’évaluation : Efficace (au moins 75% de pertes évitées) Moyen (de 50% à 75% de pertes évitées) Insuffisant (de 25% à 50% de pertes évitées) Inefficace (moins de 25% de pertes évitées) Enfin, sur la base des données collectées, la démarche consiste à déterminer une cotation finale de l’évènement de risque. Elle est obtenue en croisant les bornes des intervalles de fréquence et de sinistralité attribués par l’opérationnel. Par exemple, si l’opérationnel affecte une fréquence de « Quelques fois par mois » et une sinistralité « De 100 K€ à 1 M€ » à un événement de risque alors la cotation finale sera établie selon le mode suivant : 102 Entre 1 500 et 50 000 K€ Moins d’une fois tous les 5 ans Moyenne de 17 875 K€ Moins d’une fois par an 50 …………. 50 … … … 32,5 ….... 17 …. …. … ..1 15 .. . Quelques fois par an (entre 1 et 15 fois par an) Quelques fois par mois (entre 16 et 50 fois par an) Quelques fois par semaine (entre 51 et 350 fois par an) 100 … 550 … 1 Quelques fois par jour (plus de 350 fois par an) Moins de 1 K€ De 1 K€ à 10 K€ De 10 K€ à 100 K€ De 100 K€ à 1 M€ De 1 M€ à 10 M€ Plus de 10 M€ L’impact de l’événement de risque se situera entre 1 500 et 50 000 K€ par an avec une moyenne de 17 875 K€ par an. Ainsi les événements de risques seront hiérarchisés en fonction de leur impact potentiel 1. Un événement de risque est considéré comme « majeur » si son impact potentiel annuel dépasse un seul fixé préalablement2. Les seuils d’événements de risques majeurs locaux sont déterminés par La Direction Générale de l’entité en fonction de sa politique de gestion des risques. 1 On étudie les risques (survenance de risques par an et leur coût). Ensuite, on croise les informations et on arrive à déterminer les pertes pour un événement : croise deux séries de valeurs (ce sont des intervalles), les deux grandes amplitudes de pertes (1500 et 50000) et on obtient le coût moyen par an : 32.5*555=17875 2 Lors de l’évolution du dispositif, le caractère « majeur » d’un événement de risque pourra s’appuyer sur une évaluation chiffrée des conséquences qualitatives, au moyen d’échelles pré définies. 103 En appliquant ce seuil sur la liste hiérarchisée des événements de risques, l’entité pourra dégager une liste d’événements de risques majeurs sur lesquels une attention particulière sera portée. L’identification des risques opérationnels se fait avant toute prise en compte d’un dispositif de maîtrise des risques existant. Elle se fait au niveau de chaque processus et de chaque risque opérationnel qui leurs sont associés. En général, l’identification et l’évaluation se fait sur les risques principaux en restant au niveau des processus génériques. Il est possible de descendre à un niveau plus bas, c’es- à – dire, au niveau des sous – processus, afin d’approfondir le degré de maîtrise des risques opérationnels. L’évaluation porte sur les impacts (financiers, d’image, réglementaire…) et la fréquence des évènements retenus (très faible, faible moyen, fort…). Cette phase d’estimation des risques, suppose que tous les risques soient recensés même s’ils son couverts par un dispositif de maîtrise approprié. En somme, tout établissement de crédit encourent des risques opérationnels ; la prétention de la cartographie des risques opérationnels n’est pas de les faire disparaître (vision malheureusement utopique), mais de les maîtriser davantage et de les réduire: il s’agit de prévenir les incidents ou d’éviter les pertes . De fait, dans un cadre de saine gestion des risques opérationnels, il est pourrait être envisageable de se centrer dans un premier temps sur les principaux risques, c’est – à – dire, les plus fréquents ou les plus générateurs de pertes. L’environnement bancaire étant mouvant certains risques apparaissent tandis que d’autres disparaissent ; ce postulat amène à penser que cette démarche de cartographie des risques opérationnels ne doit pas se délimiter dans le temps. En effet, elle devra être régulièrement mise à jour, d’autant plus que la base pertes pourrait contribuer à répondre à cet impératif. 104 C – Envisager les actions Une fois certains risques identifiés, il s’agit ensuite de limiter les conséquences de ces risques et leur réalisation. Cette étape consiste à définir des actions préventives et atténuatives ; ceci étant, les actions s’inscrivent généralement dans les plannings des différents services sollicités. Le risque opérationnel réellement supporté par la banque, est fonction du dispositif de maîtrise mis en œuvre pour prévenir ou éliminer les évènements à risque. Après avoir identifier tous les risques potentiels, un inventaire des mesures existantes qui auraient un impact réducteur doivent être estimer pour connaître l’impact de ces réductions. Pour cela, il faut identifier tous les éléments qui encourent à la maîtrise des risques, c’est – à – dire : les dispositions organisationnelles, le dispositif de contrôle mis en place, les outils de suivi de l’activité et de son bon déroulement, les éléments de réduction ou de transfert de risque. Cette démarche est effectuée par les opérationnels qui portent un jugement sur le degré de maîtrise des risques, à dire d’experts. Afin de gérer les risques, deux grands types de plans d’action peuvent être mis en place : des plans d’action de prévention : ils ont pour objectif d’anticiper et de réduire la probabilité de survenance du risque. 105 Exemple : mise en place de procédures, optimisation des contrôles, développement de blocage système, etc. des plans d’action d‘atténuation : ils ont pour objectifs de réduire les effets et les conséquences de la survenance d’un risque. Exemple : assurances, recours légal, etc. En vue du suivi de la correcte mise en œuvre et des effets des plans d’action, les principales caractéristiques à mentionner dans un futur tableau de suivi des risques opérationnels pourraient être les suivants : La description du plan d’action ; Son objectif ; Le niveau de validation obligatoire ; Le responsable de mise en place ; Le coût de sa mise en place ; Le niveau de priorité (à l’échelle de l’entité) ; Un planning indicatif de déploiement ; Son rattachement au référentiel de risque opérationnel ; L’implication des autres directions ; Les éventuelles contraintes externes (groupe et hors groupe) ; Une gestion efficace des risques opérationnels suppose une coordination dans l’identification et dans la mesure des risques de façon à pouvoir les comparer les uns par rapport aux autres et être capable d’arbitrer les différentes actions à entreprendre au niveau de la banque. Cela doit se traduire par une méthodologie commune à décliner dans les différentes directions, par des indicateurs validés de façon centrale. 106 La gestion des risques opérationnels a pour objectif d’améliorer et de fiabiliser les procédures pour limiter et pour éviter que les risques opérationnels ne puissent être provoqués par malveillance ou simple erreur. Ces actions doivent toutes les deux s’appuyer sur une connaissance précise des procédures et des contrôles. 107 II – « Articulation et application symbiotique » de la cartographie des risques opérationnels par le Contrôle Permanent et par le Contrôle Périodique Risques de marché 10% Risques opérationnels 20% Risques de crédit 70% La part des risques opérationnels dans la banque Comme le risque de crédit ou le risque de marché, la quantification du risque opérationnel est déterminée pour l’allocation des fonds propres à alloués. L’objectif est d’établir un lien entre la qualité du contrôle interne et la valorisation du risque opérationnel, qui permet d’influer sur le pilotage et sur la contribution du contrôle interne. Il s’agit d’effectuer un travail de formalisation, d’harmonisation, de centralisation et de consolidation des différents risques identifiés par les équipes. La cartographie des risques opérationnels est un outil pour le contrôle interne dans les banques. Les contrôles s’organisent à trois niveaux : le premier est axé autour du contrôle permanent (a priori et a posteriori), mis en œuvre au niveau de chaque entité 108 opérationnelle et repose sur le respect permanent de la réglementation et des procédures en vigueur. Ce sont les collaborateurs de ces entités opérationnelles qui ont aidés à la réalisation de la cartographie des risques opérationnels : ils en sont les principaux acteurs et la gestion des risques opérationnels et de la cartographie des risques opérationnels, leur incombe en premier. Les contrôleurs de second niveau sont répartis au sein des différents services. Ils ont une fonction précise de « lutte » contre les risques opérationnels. Dans ce cadre, le contrôle se base aussi sur le respect de la réglementation en vigueur et des procédures internes et porte notamment sur la vérification de l’application correcte des dispositifs, au quotidien. Enfin, le troisième niveau est constitué par l’Audit interne, qui vérifie périodiquement que les contrôles de premier et de second niveau sont effectués avec les diligences requises. L’articulation « symbiotique » entre la cartographie des risques opérationnels et les contrôles tant permanent que périodique de la banque consiste à dire qu’il y a une logique de convergence dans la gestion des risques opérationnels entre ces diverses entités et la cartographie des risques opérationnels. En effet, les fonctions de contrôles permanent et périodiques calent leur mission sur la cartographie des risques opérationnels, tout en veillant à ce qu’elle soit toujours d’actualité. Ainsi cette utilisation fréquente de la cartographie des risques opérationnels par ces fonctions, permet de la faire évoluer en même temps que les risques opérationnels eux – même, ce qui fait que la cartographie des risques reste toujours adéquate aux dispositifs de contrôle interne. Il convient d’étudier cette utilisation de la cartographie des risques opérationnels par le contrôle permanent (A), qui s’en sert de façon journalière, et l’emploi qui en est fait par le contrôle périodique, qui a priori, le fait de façon ponctuelle (B). 109 A – Gestion des risques opérationnels et de la cartographie des risques par le Contrôle Permanent La notion de système de contrôle interne a été introduite par le règlement CRBF 97/02, qui implique la mise en œuvre de mesures de contrôle interne, de sorte à s’assurer une maîtrise des risques. En outre, c’est dans ce cadre que la notion de « maîtrise des risques opérationnels » a été associée à celle de « contrôle interne » au sens de la 97/02. Par ailleurs, la réforme du 31 mars 2005 de la 97/02, inclut explicitement la notion de risque de non – conformité, dans le champs des risques opérationnels. En effet, le règlement indique que les établissements doivent se doter d’un contrôle interne qui comprend : - un système de mesure de contrôle des opérations et des procédures internes, - une organisation comptable, - des systèmes de mesure des risques et des résultats, - des systèmes de surveillance et de maîtrise des risques, - un système de documentation et du traitement de l’information, - un dispositif de surveillance des flux d’espèces et de titres. La question qui se pose est celle de savoir quel est le lien entre les risques opérationnels, la cartographie des risques opérationnels et le contrôle permanent. Le dispositif de maîtrise des risques opérationnels complète celui du contrôle interne,en ce sens où, le dispositif de contrôle vise l’ensemble des activités, s’adapte aux risques quels qu’ils soient dans la banque, et plus spécifiquement ici, aux risques opérationnels. De plus, le dispositif de contrôle interne s’imbrique dans la cartographie des risques opérationnels, ce qui crée un lien entre le contrôle permanent (de même qu’avec le contrôle périodique), en ce sens où la cartographie identifie les différents métiers de la banque ainsi que les processus qui en découlent, les 110 risques qui sont rattachés à ces activités, les modalités de gestion de ces risques, ainsi que les incidents et les pertes par typologie de risques. C’est de cette analyse et lecture de la cartographie des risques que va découler les contrôles permanents. En effet, la cartographie des risques opérationnels a une incidence sur les dispositifs de contrôle interne et sur la gestion des risques, par le contrôle permanent, en ce sens où lorsque les contrôles sont effectués, les contrôleurs effectuent leurs contrôles en fonction des risques identifiés, et ils se basent sur l’analyse des risques faite dans la cartographie des risques opérationnels. Cette analyse de la cartographie des risques opérationnels, est plus concrètement, effectuée par les collaborateurs, car la cartographie ainsi analysées, doit servir aux contrôleurs permanents. En effet, le contrôleur permanent lors de sa mission de contrôle, rapproche sa vision des risques ainsi que l’analyse qu’il en fait, à celles des opérationnels. Ainsi, à l’issue du contrôle, grâce à cette vision rapprochée de l’analyse des risques par les opérationnels et les contrôleurs, ces derniers peuvent, soit détecter des anomalies, dans l’identification des risques, soit, valider les indicateurs de risques et conforter la cartographie, les analyses des opérationnels ainsi que la gestion et la maîtrise qu’ils en font. En somme le rôle du contrôle permanent dans la gestion des risques opérationnels et de la cartographie des risques permet d’aider les opérationnels dans leurs actions quotidiennes, notamment en terme de contrôle de premier niveau, (c’est – à – dire, pour répondre aux exigences du dispositif de contrôle interne imposé par le Règlement CRBF 97/02). De même, cette double analyse tant des opérationnels que des contrôleurs permanents, tend à crédibiliser les éléments de la cartographie des risques définis par les opérationnels de la banque. Enfin, ce suivi et cette gestion des risques par les contrôleurs permanents et les opérationnels, abouti à un système itératif entre ces deux entités de la banque. En effet, une collaboration est nécessaire entres ces différentes entités de la banque, qui seront amenées à alimenter quotidiennement la cartographie des 111 risques et à la faire évoluer en même temps que de nouveaux risques pourraient survenir. En outre, cette coopération répond aux objectifs de la réglementation de Bâle II, en matière de saine gestion des risques et implique nécessairement une sensibilisation plus concrète et peut – être, une acceptation plus naturelle des risques opérationnels attachés aux activités bancaires. 112 B – Le suivi et la gestion du risque opérationnel et de la cartographie des risques par le Contrôle Périodique Le régulateur a fixé des objectifs de maîtrise de risques de plus en plus exigeants. En France, le règlement 97/02 du 21 février 1997 relatif au contrôle interne des établissements de crédit et des entreprises d’investissements constitue le socle réglementaire en la matière, complété par la suite dans la logique de Bâle II, notamment par les modifications apportées par le règlement n° 2004/02 du 15 janvier 2004, lequel a étendu la notion de risques opérationnels. Le Comité de Bâle II attribue à la fonction d’Audit interne, un rôle en matière de risques opérationnels. En effet le Comité donne la possibilité à l’Audit d’étendre son champ d’action en renforçant son autorité. S’agit – il d’une opportunité ou d’un défi pour l’Audit interne ? Car les « dispositions de Bâle II requièrent une forte technicité qui, si elle n’est pas exercée par l’Audit interne, risque de réduire son magistère au profit d’autres entités indépendantes d’évaluation 1 ». L’Audit interne consacre l‘essentiel des ses missions à vérifier que les procédure internes et que la réglementation sont à jour et appliquées par les opérationnels de façon quotidienne. La gestion du risque opérationnel par l’Audit interne passe par plusieurs étapes : tout d’abord, il est effectué une identification a priori du risque, ce qui implique une définition claire et unique de la notion du risque opérationnel. A cet égard, il est nécessaire que l’Audit interne ait une connaissance suffisante des activités, des objectifs et de la stratégie de l’établissement de crédit, de réfléchir au-delà du cadre réglementaire et intégrer la réalité d’un environnement en mutation, et enfin d’enrichir la démarche de la cartographie des risques, en impliquant dans ce processus, les responsables métiers et les opérationnels. 1 Revue Banque, février 2005. 113 Ensuite l’Audit s’assure que le dispositif de contrôle interne est efficace et maîtrisé. Ainsi, la mise en place des programmes d’auto évaluation du dispositif s’avère nécessaire et les moyens de contrôle à mettre en œuvre sont, d’une part, effectués par le biais d’un carnet de bord suivi par les opérationnels qui leur rappel les étapes à suivre en matière de gestion des risques opérationnels ; et d’autre part, grâce à des indicateurs de contrôles clés de l’établissement, définis en commun avec entre l’Audit interne et les responsables opérationnels. Ces indicateurs sont de deux ordres : ils peuvent être « qualitatifs », en effectuant un rapprochement entre les positions et les résultats économiques et comptable, par exemple. Mais ils peuvent aussi être « quantitatifs », comme par exemple, relever le nombre d’opérations non confirmées, le nombre d’opérations en suspens ou encore le nombre d’opérations rejetées par le système comptable. En somme, le suivi des indicateurs de contrôle va permettre aux responsables opérationnels de détecter les erreurs, les anomalies et les dysfonctionnements qui peuvent causer des pertes et le cas échéant, de prendre les mesures correctrices nécessaires. Enfin, le rôle majeur de l’Audit interne, est de valider in fine la pertinence et la qualité du système de maîtrise des risques opérationnels et de proposer des mesures d’améliorations. Cette fonction est associée à des réunions régulières avec la Direction des risques opérationnels, qui leur permettent d’examiner conjointement les évolutions du dispositif de maîtrise des risques à mettre en œuvre. En définitive, l’Audit interne, en appui de la cartographie des risques opérationnels, établit ses missions d’audit, ce qui lui permet, notamment de mesurer la qualité des contrôles et de participer maîtriser des risques opérationnels. 114 Chapitre 2 : La cartographie des risques opérationnels, un nouvel outil stratégique des banques, à quelles fins ? A priori, l’identification des risques pourrait permettre de définir leur impact. D’où la nécessité de les gérer pour les réduire : cependant cet état de fait ne pourrait être, sans une actualisation des méthodes de gestion des risques opérationnels, ce qui permettrait, outre mesure, de gagner en qualité commerciale et en productivité. Enfin, conformément au troisième pilier de Bâle II, la communication envers les autres banques et les reportages auprès des autorités de tutelle assureraient une transparence dans la gestion des risques opérationnels. Ainsi, une saine gestion des risques peut ajouter de la valeur. 115 I – Saine gestion des risques opérationnels La problématique de la cartographie des risques opérationnels n’est pas nouvelle ; c’est un sujet qui a toujours été traité avant la réglementation de Bâle II, par les banques. Par exemple, la BRED, avait déjà entrepris une démarche de cartographie des risques opérationnels et ce, depuis 1996. Elle avait réactualisé cette cartographie en 2004, et aujourd’hui, elle retravaille sur le projet (auquel j’ai participé), mais cette fois – ci dans un cadre réglementaire. 116 Cependant, ce qui est nouveau, et ce que tout le monde s’accorde à dire, c’est le traitement qui en est fait, ainsi que la prise de conscience de l’utilité de la cartographie des risques opérationnels ; on parle désormais de « saine » gestion des risques opérationnels. Avant la réforme Bâle II, les risques opérationnels étaient gérés de manière intuitive, diffuse et hétérogène par les banques. La mise en place de saines pratique de gestion des risques opérationnels vise en fait, à garantir l’existence d’une pratique effective d’identification, de mesure, de contrôle et d’atténuation des risques opérationnels. Une « saine » gestion des risques opérationnels, au sens de Bâle II, signifie la prise en compte et la gestion des façon homogène, des risques opérationnels : il s’agit d’établir un langage commun, homogène entre les différents établissements de crédit, en matière de risques opérationnels. Ensuite « la saine » gestion des risques évolue dans un cadre normaliser qui est celui imposé par le régulateur au sens de Bâle II ; cette mouvance du risque opérationnel dans un cadre normalisé, doit se faire de façon récurrente, de sorte de répondre à cette exigence de « saine » gestion des risques opérationnels. Ainsi, cette démarche impose un cadre à tout le monde, d’une part, par les autorités de tutelle en amont, et d’autre part, par les établissements eux – même : ainsi pour la BRED, le fait pour chacun de ses services, d’être en adéquation à la fois avec la réglementation Bâle II, et avec le dispositif cadre imposé par la Banque Fédérale des Banques Populaires. 117 A - Vis à vis des Autorités de tutelle1 La réunion du Comité de Bâle II, a donné lieu à la notion de « saine » gestion des risques opérationnels, notamment de la présentation d’une cartographie des risques opérationnels ; l’application de cette réglementation doit être effective dans les banques au 01er janvier 2007. Cela dit, il faut préciser que la réglementation Bâle II, n’impose pas une cartographie des risques opérationnels en tant que telle : en réalité, la cartographie des risques opérationnels est un outil préconisé par le Comité de Bâle II pour permettre d’effectuer une « saine » gestion des risques opérationnels. Ainsi, la question qui se pose est de savoir en quoi la cartographie des risques opérationnels est outil stratégique des banques, notamment vis – à – vis des autorités de tutelle. La cartographie des risques opérationnels étant un outil de « saine » gestion des risques, elle devrait permettre de répondre aux exigences réglementaires, notamment, lors des contrôles effectués par les autorités bancaires. Tout d’abord, les autorités de contrôle bancaire assure un rôle de superviseur dans les « saine pratiques de gestion des risques opérationnels ». Ces autorités « doivent exiger »2 que toutes les banques aient mis en place un dispositif de « saine » gestion des risques opérationnels ; dispositif permettant 1 Vis-à-vis de la réglementation et des autorités de tutelle, la responsabilité de la gestion des risques opérationnels incombe : au premier niveau au groupe ; ensuite, à la Direction Générale et enfin, aux directions opérationnelles (schéma classique, notamment pour les groupes financiers tels que le Groupe BANQUES POPULAIRES). 2 Comité de Bâle sur le contrôle bancaire, février 2003. 118 d’identifier d’évaluer, de suivre et de maîtriser, voire, d’atténuer les risques opérationnels importants. Ce dispositif devant être conforme à la réglementation Bâle II, doit d’autant plus être proportionnel avec la structure de la banque, notamment en terme d’activités et de profil de risques opérationnels. C’est dans ce contexte que la cartographie des risque opérationnels joue un rôle envers les autorités de contrôle, en ce sens où elle permet de répondre à leurs exigences (définies ci – dessus). En effet la démarche même de la cartographie des risques opérationnels, répond de facto à ces exigences en ce sens où elle identifie, évalue les risques et permet de les suivre et de les maîtriser. En amont la cartographie des risques opérationnels permet d’un point de vue préventif, de faire de la veille, et ce, à tous les niveaux de la banque et surtout, vis - à – vis des autorités de tutelle. Enfin, la cartographie des risques opérationnels permet de prendre conscience des enjeux réglementaires, notamment parce – qu’elle envisage toutes les conséquences réglementaire et juridique. De plus toutes les problématiques de risques de non conformité sont tracées à travers la cartographie des risques opérationnels : les opérationnels de la banque et toute la banque elle – même, savent à quoi ils s’exposent. En somme, la cartographie des risques opérationnels permet de donner une vision globale des risques opérationnels, notamment, vis – à – vis des autorités de tutelle1. 1 Plus précisément en ce qui concerne la Commission Bancaire, les établissements de crédit sont amenés à constituer un dossier d’homologation permettant à la Commission Bancaire de déterminer si l’établissement bancaire est en adéquation avec les exigences de Bâle II. Il s’agit en fait de valider d’une part, les méthodes de gestion et de calcul en fonds propres des risques opérationnels adoptés par la banque, et d’autre part, à évaluer les politiques, procédures et pratiques des banques en matière de risques opérationnels. Enfin en réponse au troisième pilier de Bâle II, la cartographie des risques permet de se conformer au principe de transparence dans la communication des méthodes pour assurer une saine gestion des risques opérationnels. La communication d’informations financières par les banques, au sens du Comité de Bâle II, permet « de renforcer la discipline de marché, et par conséquent, une saine gestion des risques opérationnels ». 119 B - Permet une adaptation des contrôles Outre la réponse aux exigences réglementaires, la cartographie des risques opérationnels concorde avec les dispositifs de contrôle. En effet, la cartographie des risques opérationnels représente les risques opérationnels à un instant « T ». Cependant, les risques opérationnels évoluent, et la cartographie devant évoluer en même temps que les risques qu’elle illustrent. Ceci pour dire que la cartographie des risques opérationnels évoluant en même temps que les risques opérationnels, il est nécessaire pour les établissements de crédit de réviser et d’adapter leurs dispositifs de contrôle afin d’être contemporains aux risques opérationnels. En effet, les dispositifs de contrôle interne traitent des risques opérationnels qui ont été identifiés, afin de les maîtriser et au mieux, de les réduire. De plus, ce sont ces mêmes contrôles qui constatent que la cartographie des risques opérationnels n’est plus à jour, et qui de ce fait, procèdent à sa révision. Ceci conforte l’idée qu’il y a une synergie entre cartographie des risques opérationnels et contrôles : il y a une logique de convergence en ce sens où la démarche se fait de façon réciproque. La cartographie des risques opérationnels permet donc une adaptation des contrôles parce – qu’elle est le reflet des activités de la banque et des risques qui y sont associés. De même étant donné qu’elle fera l’objet d’une alimentation quotidienne et sera de ce fait, adaptée aux nouveaux risques, les procédures de contrôles internes 120 évolueront autour de la cartographie. Cela assurera une adéquation entre les risques et les moyens de contrôles à mettre en œuvre. A noter que cette mise à jour quotidienne de la cartographie des risques opérationnels impliquera non seulement le responsable de la gestion des risques opérationnels et ses correspondants dans chaque direction, mais aussi les principaux cadres de chaque service, puisque la cartographie s’appuie principalement sur une auto évaluation par les experts de chaque secteur. Elle suppose que le responsable de la gestion des risques opérationnels de la banque organise, en collaboration avec ses correspondants dans les différentes directions, des entretiens avec les responsables opérationnels pour mettre à jour la cartographie des risques. Cela suppose d’obtenir une vision simple mais précise des process, d’identifier les risques, de les classer selon les référentiels (Bâle II) et d’identifier les parades mises en place et les actions à prévoir. 121 C - Gestion des incidents et des pertes associées Les saines pratiques de gestion s’entendent sur l’ensemble de la banque. La couverture de ces domaines, au moins en ce qui concerne l’alimentation de la base pertes, est à mettre en place en collaboration avec les correspondants désignés des différentes directions de la banque pour la fin de l’année 2006, de façon à alimenter l’historique des pertes au plus tard début 2007. Le dispositif de la cartographie des risques opérationnels est associé à une collecte des incidents et des pertes : l’idée est de tracer toutes les pertes comptabilisées et de les enregistrer. Cela permet d’avoir une base de données des pertes ; celle – ci est faite en rapport avec la cartographie des risques opérationnels. Le maintien de la base pertes est indispensable pour garantir l’historique exigé pour le calcul des ratios de la méthode avancée. Cela suppose de concentrer toutes les informations en provenances des différents services après avoir valider leurs analyses. En outre, la base pertes est avérée, contrairement à la cartographie des risques opérationnels qui est faite à dire d’experts, c’est – à – dire sur la base des expériences des professionnels. En effet, la base pertes est composée de risques survenus qui sont renseignés dans la base pertes ; cela permet de faire évoluer la cotation de la cartographie des risques opérationnels. L’intérêt de bâtir une base pertes, consiste à dire que, d’une cartographie des risques à dire d’experts, on passe à une cartographie des risques opérationnels « statistique » permettant de passer à la méthode avancée. Tout d’abord ; il convient de donner la définition d’une perte. 122 Une « perte » est une perte financière directe liée à la survenance d’un risque opérationnel. Au sein de cette catégorie, il existe les « pertes potentielles avant récupération » (avant assurance) et les « pertes après récupération » : ces dernières représentant la perte finale. La différence réside dans les montants récupérés suite à la mise en œuvre de plans d’action intermédiaires et/ou à la suite de recours auprès des assurances (par exemple assignation des fraudeurs). Sont également consignés tous les autres événements de risque opérationnel n’ayant pas eu de conséquences financières, mais qui constituent ce qu’on appelle des « Risques évités » ; ils sont néanmoins susceptibles d’avoir des conséquences financières indirectes (comme le manque à gagner) ; et / ou des conséquences qualitatives (telles que le risque d’insatisfaction client). Les pertes potentielles avant récupération permettent notamment de « back tester »1 les cotations « sinistralité » obtenues à dire d’experts. Le recensement des pertes avérées et évitées relatives au risque opérationnel permet de : Constituer un historique de données internes (utilisable en méthode avancée) ; Back-tester les cotations obtenues à dire d’expert ; Elaborer un reportage interne et réglementaire de suivi et de pilotage du niveau de risque subi ; Etablir une fiche de recensement d’une perte avérée ou évitée. La définition des pertes doit comprendre au minimum les éléments d’information suivants : 1 Back tester : il s’agit de proposer un scénario, de le comparer avec la réalité et d’apporter des réajustements si nécessaires. 123 Le type d’événement ; Le rattachement au référentiel de risque ; La description de l’événement ayant entraîné la perte ou le risque évité ; La période ou la date d’occurrence ; Des données financières ; Les conséquences autres que financières ; Le responsable du suivi ; Le déclarant… Le lancement de cette collecte de type déclaratif nécessite une connaissance préalable des concepts utilisés au sein du dispositif de gestion des risques opérationnels. Les premiers intéressés sont donc les mêmes opérationnels à l’origine de la construction de la cartographie. La détection des pertes et la création des fiches de déclaration à destination du responsable des Risques Opérationnels de l’entité sont effectués par l’opérationnel qui de part sa situation est le plus à même de réaliser cette tâche. La collecte des pertes se fait sans seuil plancher concernant aussi bien des évènements de risque identifiés lors de la construction de la cartographie que de nouveaux évènements de risques qui pourraient survenir. La cartographie des événements de risque peut contenir des risques opérationnels dont la matérialisation est contingente à l’occurrence d’un risque de crédit ou d’un risque de marché. Par exemple, « Perte de la garantie ». Ce risque opérationnel appelé « Risque frontière » ne se matérialise par une perte financière que si la contrepartie fait défaut au remboursement de ses encours. On peut définir deux grands types de risques frontières : 124 Il peut s’agir d’une augmentation de la probabilité de défaut ou de la volatilité de l’exposition au marché ; ou d’une augmentation des pertes après défaut ou de l’exposition au marché. Afin d’éviter une double allocation de fonds propres, le régulateur a considéré que l’exigence de fonds propres nécessaire face à ces risques opérationnels serait constituée au titre du risque de crédit ou du risque de marché. Néanmoins, afin de piloter et réduire ces risques, ils doivent tout de même être identifiés et référencés au sein des outils de gestion du risque opérationnel, et notamment les pertes constatées au titre de ces risques frontières. En somme l ‘objectif de la base pertes est d’identifier les différents incidents par domaines de façon à améliorer le recensement des risques opérationnels et à évaluer les taux de récupération et les sinistres finaux. C’est une démarche pragmatique au long de l’année qui s’appuie essentiellement sur les déclarations des directions opérationnelles. Ces travaux doivent permettre une gestion proactive des risques opérationnels, avec la mise en place notamment de reportages internes et de plans d’actions préventifs et correctifs visant la réduction des facteurs de risque, des incidents et des pertes. 125 II – La cartographie des risques opérationnels, un outil essentiellement opérationnel La réglementation Mac Donough est une opportunité pour les établissements qui y sont soumis : elle a une optique d’optimisation des résultats en diminuant les risques opérationnels et elle doit permettre d’améliorer la qualité du service client, notamment en passant par un management des risques opérationnels axé sur la cartographie des risques opérationnels. Une démarche de ce type cartographie des risques opérationnels, outre le fait qu’elle permette de se conformer aux exigences réglementaires de quantification du risque pour le calcul des fonds propres, abouti à une amélioration des conditions de production : notamment en rationalisant des processus, en obtenant des gains en productivité, et enfin en reflétant une « image de marque » de la banque. D’où la nécessité d’entreprendre ce projet de cartographie des risques opérationnels, dans une démarche qualité. 126 A – Outil d’aide à la décision Le risque opérationnel est lié à l’organisation de l’établissement bancaire. Un système de management par la qualité, qui inscrit l’organisation dans une boucle d’amélioration continue, contribue à une meilleure maîtrise de ce risque. De plus, une approche unifiée, dans un système intégré, dégage des synergies entre toutes les démarches d’amélioration. C’est dans ce contexte que la cartographie des risques opérationnels donne aux responsables opérationnels, une vision globale des risques, par Département, par services, par Directions : cette vision synthétique permet de faire des choix, de manager les équipes et de prioriser les risques opérationnels. Les questions auxquelles devront répondre les collaborateurs de la banque au quotidien dans l’utilisation qu’ils feront de la cartographie des risques opérationnels sont les suivantes : Identifier les process, Évaluer leurs risques, Mettre en place des clignotants et les suivre, S’assurer de la mise au point de parades. La cartographie des risques opérationnels permettra de répondre à ces aspects des risques opérationnels et donnera la possibilité de prendre des décisions en terme de management, aux fins d’assurer une maîtrise des risques opérationnels. Elle a également pour objectif, d’orienter les décisions des collaborateurs de la banque, notamment en terme de plans d’actions car elle constitue une grille de lecture qui met en avant les risques sur lesquels des mesures correctrices sont à prendre. 127 Toujours dans ce même ordre d’idée, la cartographie des risques opérationnels va se décliner pour les opérationnels de la banque, sous forme de tableaux de bord, qui leur donneront des indicateurs à suivre : cela leur permettra de faire des choix opérationnels et « rationnels » d’un service à l’autre. En effet, les différents services des entités de la banque travaillent en collaboration au quotidien, et il est donc important pour eux d’agir en parallèle pour appréhender et maîtriser les risques opérationnels de façon optimum. Cela pourrait même les conduire à modifier leur stratégie de management. Ces actions pourront être effectuées avec la collaboration de la Direction des Risques opérationnels ; ainsi les collaborateurs de la banque seront beaucoup plus des acteurs dans la démarche de la cartographie des risques opérationnels, et pourront contribuer au niveau de la Direction Générale de faire changer certaines options de maîtrise des risques opérationnels. 128 B – Outil commercial Il faut toujours garder à l’esprit que la gestion des risques opérationnels a pour objectif d’améliorer la qualité des services vis-à-vis des clients avec une maîtrise des coûts ; c’est l’objectif des saines pratiques de gestions exigées par la réglementation. La cartographie des risques opérationnels est un outil d’aide à la vente vis à vis des clients. En effet, c’est un argument commercial, car elle reflète l’image de la banque. C’est en effet à cette occasion que l’établissement bancaire pourra mettre en avant la qualité des performances de sa maîtrise des risques opérationnels. La cartographie un outil commercial sur deux aspects : d’une part, d’un point de vue « appel d’offre » car il sera possible de mettre en avant la maîtrise des risques opérationnels ; d’autre part, elle permet de mieux travailler vis – a – vis des clients. En d’autre terme, en matière de production, elle assurera une satisfaction des clients. En effet, la cartographie concours à l’entretien des certifications ISO 9001, ce qui permet une maîtrise des risques dans une démarche qualité. Ces objectifs sont ceux affichés par les démarches qualités et normes d’excellences, développées dans les secteurs non bancaires. Contrairement au risque de crédit et au risque de marché, le risque opérationnel n’est pas spécifique à l’activité financière ; cependant, seules les banques doivent constituer un capital pour couvrir ce risque. Les référentiels qualité comme ISO 9001, apportent aux spécialistes des risques opérationnels des méthodes éprouvées et fiables, constituant un point essentiel dans la maîtrise des risques opérationnels. Ainsi, certains outils de gestion des risques opérationnels tels que la cartographie des risques opérationnels, permet de compléter la panoplie des outils offerts au responsable des risques opérationnels (plans d’actions, base pertes ou encore, les indicateurs). 129 Par exemple, la cartographie des risques opérationnels pourra servir de support pour établir des fiches de suggestion, des revues périodiques illustrant la maîtrise des risques opérationnels (à fournir aux nouveaux prospects de la banque), ou encore, des objectifs de performance inscrits dans les contrats conclus avec les clients, démontrant ainsi un suivi et une « saine » gestion des risques, vis – à – vis du client. La cartographie des risques opérationnels répond à un objectif de réduction du risque opérationnel, au – delà de son suivi et de sa quantification. En effet, le rapprochement des opérations menées pour répondre à la réglementation Bâle II, avec les démarches d’amélioration de la qualité et de la productivité, dégage une opportunité. Notamment en ce qui concerne l’intégration d’un système de management, qui permet de satisfaire simultanément les parties prenantes, c’est – à – dire, les clients (en terme de qualité, notamment, la cartographie des risques opérationnels au travers le projet Risques Opérationnels peut permettre de faire gagner des clients et par la suite, de les fidéliser), les régulateurs (en terme de risque), et les actionnaires de l’établissement bancaire (en terme de performance). 130 C – Outil de vigilance Le système d’adossement des métiers de la banque à la réglementation participe à la diffusion de nouveaux comportements et à la diffusion de nouveaux savoirs pour l’amélioration des compétences des métiers de la banque, vis – à – vis d’un risque qui change de nature (exemple, complexité des montages financiers, des circuits financiers internationaux) et d’origine (évolutions de l’éthique des affaires et comportements sociaux…). La cartographie des risques opérationnels est l’élément pivot de la diffusion de ces nouveaux comportements ; notamment vis à vis des agences (en terme de management interne), car elle permet de sensibiliser les collaborateurs des agences et des différents métiers de la banque, d’où une prise de conscience des risques encourus et des parades à apporter. La cartographie des risques opérationnels, outre la particularité d’être un support de saine gestion des risques opérationnels, permet également d’assurer une veille en matière de gestion des risques. En effet, aujourd’hui dans les établissements bancaires, deux problématiques s’opposent : d’abord, il y a celle qui incite les commerciaux des agences bancaires vers un objectif de production. Dans ce cadre là, l’intérêt premier est d’avoir une volumétrie de vente importante : l’objectif étant de « faire du chiffre ». Dans cette situation, les collaborateurs oublient la problématique des risques opérationnels et n’assurent plus une vigilance dans ce sens. L’autre problématique consiste à dire qu’au – delà de ces objectifs de vente, il faut rester vigilant sur les opérations traitées et réfléchir aux risques qui pourront en découler. Ainsi une cartographie des risques opérationnels normalisée permet aux collaborateurs d’avoir une estimation des risques opérationnels importants et donc, permet de doubler de vigilance sur ces risques. La cartographie des risques opérationnels permet déjà d’effectuer une gestion proactive des risques opérationnels : et dans cette optique, elle doit aider les 131 opérationnels à être plus vigilant sur les risques qu’ils encourent et d’en avoir conscience au quotidien ? La cartographie permet de sensibiliser les collaborateurs, qui d’autant plus, seront amenés à l’alimenter au quotidien et donc à travailler avec en tant qu’indicateur de risques opérationnels. 132 Conclusion 133 La maîtrise des risques opérationnels constitue une innovation non négligeable pour la profession bancaire. Les pertes et les faillites bancaires afférents aux risques opérationnels, ne sont pas passés inaperçus et sont restés dans les esprits, notamment dans ceux des régulateurs. L’identification et la maîtrise des risques opérationnels, est devenue l’une des préoccupation des établissements bancaires. Ces derniers, doivent intégrer ces risques dans le calcul de leur fonds propres conformément au nouveau ratio de solvabilité MC Donough imposé par Bâle II. L’objectif de ce nouveau ratio pour le calcul des fonds propres des banques, est d’assurer la solidité et la stabilité financière des établissements bancaires. Toutefois, les divergences quant à la définition de ces risques opérationnels, les difficultés rencontrées par les banques pour mettre en place un dispositif de « saine gestion des risques opérationnels » ont conduit à une réflexion, dont l’objectif de ce mémoire a été d’essayer de situer ces risques opérationnels et la cartographie des risques qui en découle, vis – à – vis des établissements bancaires. Il ressort des réflexions de ce mémoire, que les risques opérationnels et la cartographie des risques apportent tous deux, une réponse aux instabilités financières survenues ou qui pourraient encore survenir dans le monde bancaire. En effet, après avoir dressé une typologie du risque opérationnel, on retient une dimension du risque opérationnel qui gravite essentiellement autour deux axes. On a pu constater que les risques opérationnels sont dus soit, à des défaillances internes, soit à des évènements externes non maîtrisables. Le but pour assurer une « saine gestion des risques opérationnels », en vue notamment d’élaborer la cartographie des risques opérationnels, et de qualifier les risques en les appréhendant, soit par l’adoption des approches propres aux banques soit par l’application des méthodes proposées par Bâle II. 134 L’idée de base est de provisionner la quantité des fonds propres nécessaires à la couverture des risques : en d’autre terme allouer des fonds propres en face de chaque risque. L’autre idée consiste à mettre en place un système de contrôle interne efficace, s’appuyant sur la cartographie des risques opérationnels, qui dans cette matière, a une vocation stratégique. Comme il a été exposé précédemment, la cartographie des risques opérationnels constitue un outil essentiellement stratégique pour les banques, en terme de « saine pratiques de gestion des risques opérationnels ». Cependant il convient ici de se demander quel sera réellement l’impact du nouveau ratio de solvabilité, intégrant les risques opérationnels dans le calcul des fonds propres. A la lecture de diverses opinions de professionnels de la banque, on constate que certains pensent que la réforme Bâle II est source « d’instabilité financière ». Pourquoi une telle opinion ? En effet,selon certains professionnels la réforme « néglige l’endogénéité des risques bancaires, ce qui a deux effets contre – productif : l’un sur la liquidité des marchés et l’autre, sur la procyclicité des modes de gestion bancaire ». Autrement dit, en traitant les risques comme un élément fixe et exogène aux activités propres à la banque, ceci a pour conséquence d’abolir les frontières entre les différents modèles de gestion des risques effectués par les établissements bancaires. Cela a pour conséquence de les amener à suivre les mêmes stratégies politiques de gestion des risques conduisant à un « mouvement d’ensemble où les décisions individuelles ne se compensent plus » 1. 1 Philip Lowe, “ Credit Risk measurement and procycliality”, Bis Working Paper n°116, September 2002. 135 Dans cet article, l’auteur fait référence à deux évènements passés pour le risque de marché. Les faits datent de 1987 et de 1998, où une crise de change du dollar – yen eut lieu en 1998 et l’assèchement des marchés de futures en automne 1987. L’auteur souligne que dans les deux cas, les « opérateurs de marché utilisaient les mêmes modèles, qui ont produit un effet « boule – de – neige », à une sur réactiondes marchés, et à l’aggravation de la crise ». Pour l’auteur, l’uniformisation des comportements induite par la réforme, est contraire à l’aspiration de « saine gestion des risques opérationnels » et de la solidité et de la stabilité financière : il dit « on perçoit la difficile articulation entre les enjeux de la nouvelle réglementation bancaire et ceux d’une incitation à la stabilité macro – économique ». D’autres auteurs pensent que Bâle II met en place une régulation privé qui consiste en un auto – contrôle par les grandes banques internationales : ici, les banques se doteraient de « leurs propres normes de fonds propres basées sur leur évaluation autonome du risque ». En outre, la réforme laisserait une place majeure aux agences de notations qui « constitueraient des benchmarks dont il serait délicat de s’éloigner significativement ». 1 Pour ces mêmes auteurs, les agences de notations 2 représentent « un oligopole qui constitue un frein de la reprise économique ». 1 Analyse et Document Economique, février 2004. 2 Les agences de notation financière (par exemple Moody’s ou Standard and Poor’s) sont spécialisées dans ce que l’on nomme en anglais le « rating ». Elles se chargent d’évaluer le risque de solvabilité des emprunteurs. Les emprunteurs, dans ce cas précis, peuvent être des entreprises privées ou publiques, des Etats, des collectivités locales comme les départements ou les régions, des communes. Le rôle des agences de rating est de mesurer précisément le risque de non remboursement des dettes que présente l’emprunteur, on parle aussi de la « qualité de la signature ». Chaque agence de notation financière possède son propre système de notation. Schématiquement, les notes s’établissent de A à D avec des échelons intermédiaires. Ainsi, la meilleure note est AAA, c’est notamment celle de l’Etat français. Ensuite on trouve AA, A chez Standard and Poor’s, ou Aa, A, etc. chez Moody’s. 136 En l’état actuel, la réglementation Bâle II devant être opérationnelle au sein des établissements bancaires d’ici le 1 er janvier 2007, il apparaît donc difficile d’appréhender cette réforme de façon négative. Bien qu’étant une « conséquence de la réglementation » pour certains auteurs, il faut admettre que des régulations sont indispensables surtout dans le domaine financier, et plus précisément bancaire ; ceci toujours pour prévenir des risques de faillites, de pertes voire même, pour lutter contre les concurrences déloyales qui doivent être encadrées. D’autant plus on a pu constater que les risques opérationnels sont omniprésents dans toutes les opérations bancaires. Son appréciation n’est pas aisée à faire, notamment à cause de son caractère diffus, de la difficulté qu’il peut y avoir pour collecter ou même comprendre les informations données par les collaborateurs ‘notamment lorsqu’il s’agit de qualifier les risques opérationnels recensés pour les rattacher aux évènements de risques Bâle II). Dans ce cadre, il est indispensable qu’existent des institutions en charge de la stabilité financière du système bancaire, que ce soit à l’échelle nationale, européenne, et mondiale. La pertinence du mécanisme de Bâle II fait peut – être peser des doutes sur des contraintes superfétatoires au regard de l’objectif de pérennité du système financier. Ces doutesdevraient être levés au fil des années et notamment lors du passage à la méthode avancée pour le calcul des fonds propres des banques. 137 138 Bibliographie 139 Revues Banque magazine – N° 649 – Juillet / Août 2003. Banque Stratégie – Numéro 189 – janvier 2002. AGEFI – Mardi 29 avril 2003 Revue d’Economie Financière – Numéro 73 Analyse et Document Economique , février 2004. Revue Banque, février 2005. Autres documentations Documentations internes BRED Comité de Bâle sur le contrôle bancaire, février 2003. Vue d’ensemble du Nouvel Accord de Bâle sur Les Fonds propres -BRI - Avril 2003. Sound Practices for the Management Supervision of Operational Risk 2003 - BRI – février Sites Internet www.bis.org : Bank for International Settlements ( BRI ) www.fsa.gov.uk : Financial Services Authority. www.canalbred.fr: Site de la Bred www.banque-france.fr 140 www.commission-bancaire.org 141 Table des matières 143 Introduction 8 1ère partie : Les risques opérationnels et les banques aujourd’hui 19 Chapitre 1 : La place des risques opérationnels vis à vis de la réglementation 21 I – Une évolution récente de la réglementation 21 A – La maîtrise des risques opérationnels, une nouvelle exigence pour le régulateur 22 B – Le vrai apport de Bâle II 26 II - Evolution récente qui se concrétise au niveau des fonds propres 31 A – Intégration des risques opérationnels dans les fonds propres B – La quantification du risques opérationnel pour le calcul des fonds propres 32 33 1) Les différentes méthodes proposées par Bâle II a) La méthode Indicateur de Base (BIA) b) La méthode Standard (TSA) c) La méthode Avancée (AMA) 2) Les différentes approches adoptées par les banques pour évaluer les risques opérationnels a) L’approche Top – Down b) L’approche Bottom – Up 34 34 35 38 41 41 42 Chapitre 2 : L’évolution organisationnelle des banques selon les risques Opérationnels 44 I – Une organisation pyramidale 44 A – Le rôle de la Direction Générale dans la maîtrise des risques opérationnels B – La Direction des risques opérationnels 45 46 1) En matière de risques opérationnels 47 a) Prévention, politique de gestion et surveillance des risques opérationnels 47 b) Base Pertes et Base Incidents 47 c) Cartographie des risques 48 d) Plan de continuité d’activités 48 e) Diffusion de normes et de règles en matière de contrôle des risques opérationnels 48 2) En matière de coordination des contrôles permanents (risques opérationnels et conformité) a) Animation et coordination du dispositif de contrôle permanent b) Centralisation et diffusion des travaux réalisés par les contrôleurs permanents c) Reportage et rédaction des rapports réglementaires 49 49 49 50 3) Plans d’actions 50 144 II – La difficile prise en compte du risque opérationnel à tous les niveaux de la banque 52 A – Les lignes métiers et les opérationnels B – Les métiers transversaux face aux risques opérationnels 53 55 Chapitre 3 : L’ontologie des risques opérationnels 57 I – Les composantes du risque opérationnel 57 A - Des risques traditionnels Risque de défaillance opérationnelle Risque juridique Risque fiscal Risques humains et fraudes 58 58 59 60 61 B – Deux risques à part entière : le risque de non – conforté et le risque de blanchiment de capitaux 62 Définition du risque de non – conformité et du risque de blanchiment de capitaux 62 a)Le risque de non – conformité 63 b)Le risque de blanchiment de capitaux 65 Risque opérationnel, risque de non – conformité et risque de blanchiment : entre convergence et divergence ? 69 II – L’absence de maîtrise du risque opérationnel : cause de nombreuses sanctions 72 A – L’exemple de l’affaire du Sentier II B – D’autres exemples significatifs L’exemple de la Barings L’exemple Sumimoto 73 75 75 76 2ème partie : La cartographie des risques opérationnels permet de renforcer le contrôle interne des banques 80 Chapitre 1 : Comment la cartographie des risques opérationnels permet de se doter d’un cadre commun de maîtrise des risques 85 I – La démarche de la cartographie des risques opérationnels 85 A – Recenser les activités et les risques associés B – Identifier et évaluer les risques opérationnels C – Envisager les actions 101 86 96 II – « Articulation et application symbiotique » de la cartographie des risques opérationnels par le Contrôle Permanent et par le Contrôle Périodique 104 145 A – Gestion des risques opérationnels et de la cartographie des risques par le Contrôle Permanent 106 B – Le suivi et la gestion du risque opérationnel et de la cartographie des risques par le Contrôle Périodique 109 Chapitre 2 : La cartographie des risques opérationnels, un nouvel outil stratégique des banques, à quelles fins ? 112 I – Saine gestion des risques opérationnels 113 A - Vis à vis des Autorités de tutelle B - Permet une adaptation des contrôles C – Gestion des incidents et des pertes associées 115 117 119 II – La cartographie des risques opérationnels, un outil opérationnel 123 A – Outil d’aide à la décision B – Outil commercial C – Outil de vigilance 123 125 128 Conclusion 133 Bibliographie 139 Résumé 145 146 Résumé Le risque opérationnel n’est pas nouveau pour les banques. L’idée nouvelle de la réforme Bâle II est que la gestion des risques opérationnels devient une discipline à part entière avec ses propres procédures de contrôle, tout comme les risques de crédit et de marché. De plus, la nouvelle exigence en fonds propres du ratio MC Donough permet de répondre à une autre préconisation de Bâle II, qui est celle de la solvabilité et de la stabilité des banques pour couvrir leurs risques. Summary Operational risk is not a novel risk for banks. In fact, the newness of Basel II built on the idea that operational risk become an independent line of business with its own procedure as credit risk and market risk. Moreover, the new MC Donough’s ratio will answer to Basel II about the solvability and stability of banks in front of their risks. 147 148