Principes pour une bonne gestion du risque opérationnel

Transcription

1
Basel Committee on Banking Supervision
Principles for the Sound Management of
Operational Risk
June 2011
Comité de Bâle sur le contrôle bancaire
Principes pour une bonne gestion du risque
opérationnel
Juin 2011
Traduction bilingue bicolore par l’Autorité de Contrôle prudentiel
Two-colored bilingual translation by the Prudential Control Authority
Janvier 2013
January, 2013
Nota : Traduction fournie uniquement à titre informatif par l’ACP, seule la version anglaise sur le site du Comité de Bâle fait foi.
Lorsque cela a paru nécessaire, cette traduction est enrichie afin de faciliter la compréhension et lever certaines ambiguïtés.
Contents
Sommaire
Preface
Préface
2
Role of Supervisors
Rôle des superviseurs
4
Principles for the management of operational risk
5
Principes pour la gestion du risque opérationnel
Fundamental principles of operational risk management
9
Principes fondamentaux de la gestion du risque opérationnel
Governance
La Gouvernance
14
The Board of Directors
Le Conseil d'administration
14
Senior Management
La Direction
16
Risk Management Environment
Environnement de la gestion du risque
18
Identification and Assessment
Identification et Appréciation
18
Monitoring and Reporting
Surveillance et rapports.
22
Control and Mitigation
Réduction et contrôle
23
Business Resiliency and Continuity Résilience/Robustesse et continuité des activités 27
Role of Disclosure
Rôle de la communication publique
29
Sensibilité : Externe, à diffuser largement.
2
Principles for the Sound Management of Operational Risk and the Role of Supervision
Principes pour une bonne gestion du risque opérationnel et rôle de la supervision
Preface
Préface
1 In the Sound Practices for the Management and Supervision of Operational Risk (Sound Practices), published in
February 2003, the Basel Committee on Banking Supervision (Committee) articulated a framework of principles for
the industry and supervisors. Subsequently, in the 2006 International Convergence of Capital Measurement and
Capital Standards: A Revised Framework - Comprehensive Version (commonly referred to as “Basel II”), the
Committee anticipated that industry sound practice would continue to evolve1. Since then, banks and supervisors have
expanded their knowledge and experience in implementing operational risk management frameworks (Framework).
Loss data collection exercises, quantitative impact studies, and range of practice reviews covering governance, data
and modelling issues have also contributed to industry and supervisory knowledge and the emergence of sound
industry practice.
1 Dans les Bonnes pratiques pour la gestion et la surveillance de risque opérationnel - Sound Practices for the
Management and Supervision of Operational Risk (ci-après les Bonnes pratiques), publiées en février 2003, le Comité
de Bâle sur le contrôle bancaire (ci-après le Comité) a organisé un ensemble de principes pour l'industrie bancaire et
les superviseurs. Par la suite, dans -la Convergence Internationale 2006 sur la mesure du capital et les exigences de
fonds propres : un cadre révisé - version complète - 2006 International Convergence of Capital Measurement and
Capital Standards: A Revised Framework - Comprehensive Version (généralement désignée par "Bâle II"), le Comité
a prévu que les bonnes pratiques pour l’industrie continueraient à évoluer1. Depuis lors, les banques et les superviseurs
ont enrichi leur connaissance et expérience dans la mise en œuvre de chaque cadre de gestion du risque opérationnel
(dénommé ci-après le Cadre pour les déclinaisons dans les organismes, à ne pas confondre avec les accords de Bâle
aussi intitulés Framework). Des exercices de collecte de données de perte, des études d'impact quantitatives et
l’éventail d’enquêtes sur les pratiques en matière de gouvernance, de données et sur les questions de modélisation ont
aussi contribué à parfaire les connaissances de l'industrie et des superviseurs ainsi qu’à l’émergence de bonnes
pratiques pour l’industrie bancaire.
2 In response to these changes, the Committee has determined that the 2003 Sound Practices paper should be updated
to reflect the enhanced sound operational risk management practices now in use by the industry. This document –
Principles for the Sound Management of Operational Risk and the Role of Supervision – incorporates the evolution of
sound practice and details eleven principles of sound operational risk management covering (1) governance, (2) risk
management environment and (3) the role of disclosure. By publishing an updated paper, the Committee enhances the
2003 sound practices framework with specific principles for the management of operational risk that are consistent
with sound industry practice. These principles have been developed through the ongoing exchange of ideas between
supervisors and industry since 2003. Principles for the Sound Management of Operational Risk and the Role of
Supervision replaces the 2003 Sound Practices and becomes the document that is referenced in paragraph 651 of Basel
II.
2 En réponse à ces changements, le Comité a décidé que le document sur les Bonnes pratiques de 2003 devrait être
mis à jour pour refléter l’amélioration des pratiques de gestion du risque opérationnel maintenant constatées dans
l'industrie bancaire. Ce document - Principes pour la bonne gestion du risque opérationnel et le rôle de la supervision incorpore les évolutions des bonnes pratiques et détaille onze principes de bonne gestion du risque opérationnel,
couvrant (1) la gouvernance, (2) l'environnement de la gestion du risque et (3) le rôle de la communication publique.
En publiant un document mis à jour, le Comité enrichit le cadre des bonnes pratiques 2003 avec des principes
spécifiques pour la gestion de risque opérationnel qui sont cohérents avec les bonnes pratiques de l'industrie
financière. Ces principes ont été développés par des échanges d'idées continus entre des superviseurs et l'industrie
depuis 2003. Les Principes pour une bonne gestion du risque opérationnel et le rôle de la supervision remplacent les
Bonnes pratiques de 2003 et devient le document auquel il est fait référence dans le paragraphe 651 de l’Accord Bâle
II.
1
Basel Committee on Banking Supervision, International Convergence of Capital Measurement and Capital Standards: A Revised
Framework - Comprehensive Version, Section V (Operational Risk), paragraph 646, Basel, June 2006.
3
3 A Framework for Internal Control Systems in Banking Organisations (Basel Committee, September 1998)
underpins the Committee’s current work in the field of operational risk. The Core Principles for Effective Banking
Supervision (Basel Committee, October 2006) and the Core Principles Methodology (Committee, October 2006), both
for supervisors, and the principles identified by the Committee in the second pillar (supervisory review process) of
Basel II are also important reference tools that banks should consider when designing operational risk policies,
processes and risk management systems.
3 Le travail actuel du Comité dans le domaine du risque opérationnel se situe dans le prolongement du « Cadre pour
les systèmes de contrôle interne dans les organismes bancaires » (Comité de Bâle, septembre 1998). Les « Principes
fondamentaux pour une supervision bancaire efficace » (Comité de Bâle, octobre 2006) et la « Méthodologie des
principes fondamentaux » (Comité, octobre 2006), tous deux destinés aux superviseurs, et les principes définis par le
Comité dans le deuxième pilier (le processus de supervision prudentielle) de Bâle II sont aussi des outils de référence
importants que les banques devraient prendre en considération en concevant leur politique de risque opérationnel,
leurs processus et leurs systèmes de gestion du risque.
4 Supervisors will continue to encourage banks “to move along the spectrum of available approaches as they develop
more sophisticated operational risk measurement systems and practices"2. Consequently, while this paper articulates
principles from emerging sound industry practice, supervisors expect banks to continuously improve their approaches
to operational risk management. In addition, this paper addresses key elements of a bank’s Framework. These
elements should not be viewed in isolation but should be integrated components of the overall framework for
managing operational risk across the enterprise.
4 Les superviseurs continueront à encourager des banques "à progresser au long du spectre d'approches disponibles
lorsqu’elles développent des systèmes et pratiques de mesure de risque opérationnel plus élaborés"2. Par conséquent,
puisque ce document établit des principes de bonnes et nouvelles pratiques pour l'industrie financière, les superviseurs
attendent que les banques améliorent continuellement leur approche de la gestion du risque opérationnel. De plus, ce
document traite des éléments clefs du cadre d’activité d'une banque. Ces éléments ne devraient pas être vus isolément,
mais devraient s’intégrer au sein du cadre général de gestion du risque opérationnel de toute l'entreprise.
5 The Committee believes that the principles outlined in this paper establish sound practices relevant to all banks. The
Committee intends that when implementing these principles, a bank will take account of the nature, size, complexity
and risk profile of its activities.
5 Le Comité considère que les principes décrits dans ce document établissent de bonnes pratiques adaptées à toutes les
banques. Le Comité souhaite que les banques tiennent compte de la nature, la taille, la complexité et le profil de risque
de leurs activités en mettant en œuvre ces principes.
2
BCBS (2006), paragraph 646.
4
Role of Supervisors
Le rôle des superviseurs
6 Supervisors conduct, directly or indirectly, regular independent evaluations of a bank’s policies, processes and
systems related to operational risk as part of the assessment of the Framework. Supervisors ensure that there are
appropriate mechanisms in place which allow them to remain apprised of developments at a bank.
6 Les superviseurs conduisent, directement ou indirectement, des évaluations régulières et indépendantes de la
politique, des processus et des systèmes d'une banque liés au risque opérationnel comme faisant partie de leur
évaluation du Cadre de gestion du risque opérationnel. Les superviseurs s’assurent que des mécanismes adaptés sont
en place, leur permettant de rester informés des évolutions dans une banque.
7 Supervisory evaluations of operational risk include all the areas described in the principles for the management of
operational risk. Supervisors also seek to ensure that, where banks are part of a financial group, there are processes
and procedures in place to ensure that operational risk is managed in an appropriate and integrated manner across the
group. In performing this assessment, cooperation and exchange of information with other supervisors, in accordance
with established procedures, may be necessary3. Some supervisors may choose to use external auditors in these
assessment processes4.
7 Les évaluations du risque opérationnel par les superviseurs incluent tous les domaines décrits dans les Principes pour
la gestion de risque opérationnel. Les superviseurs cherchent aussi à s’assurer que, lorsque les banques font partie d'un
groupe financier, des processus et des procédures sont en place pour garantir que le risque opérationnel est géré de
façon adaptée et intégrée dans tout le groupe. En effectuant cette évaluation, la coopération et l'échange d'informations
avec d'autres superviseurs, conformément aux procédures établies, peuvent être nécessaires3. Certains superviseurs
peuvent décider de recourir à des auditeurs externes pour ce processus d’évaluation4.
8 Deficiencies identified during the supervisory review may be addressed through a range of actions. Supervisors use
the tools most suited to the particular circumstances of the bank and its operating environment. In order that
supervisors receive current information on operational risk, they may wish to establish reporting mechanisms directly
with banks and external auditors (eg internal bank management reports on operational risk could be made routinely
available to supervisors).
8 Les insuffisances identifiées lors des évaluations par les superviseurs peuvent être traités par une gamme d'actions.
Les superviseurs utilisent les outils les mieux adaptés aux circonstances particulières et à l’environnement
d'exploitation de la banque concernée. Afin que les superviseurs puissent recevoir des informations à jour sur le risque
opérationnel, ils peuvent souhaiter établir des mécanismes de déclaration directement avec les banques et les auditeurs
externes (e.g. le rapport sur le risque opérationnel fait par la banque en interne peut être systématiquement mis à
disposition des superviseurs).
9 Supervisors continue to take an active role in encouraging ongoing internal development efforts by monitoring and
evaluating a bank’s recent improvements and plans for prospective developments. These efforts can then be compared
with those of other banks to provide the bank with useful feedback on the status of its own work. Further, to the extent
that there are identified reasons why certain development efforts have proven ineffective, such information could be
provided in general terms to assist in the planning process.
9 Les superviseurs continuent à jouer un rôle actif en encourageant les efforts de développement internes en cours, en
suivant et évaluant les améliorations récentes et les plans de développement à venir de la banque. Ces efforts peuvent
alors être comparés avec ceux d'autres banques en vue de fournir à la banque des retours utiles sur la situation de son
propre travail. En outre, dans la mesure où des raisons, qui expliquent que certains efforts de développement se sont
révélés inefficaces, ont été identifiées, de telles informations peuvent être traduites en termes généraux pour aider à
améliorer les processus de planification.
Refer to the Committee’s papers High-level principles for the cross-border implementation of the New Accord, August 2003, and
Principles for home-host supervisory cooperation and allocation mechanisms in the context of Advanced Measurement
Approaches (AMA), November 2007.
4 For further discussion, see the Committee’s paper The relationship between banking supervisors and bank’s external auditors,
January 2002.
3
5
Principles for the management of operational risk
Principes pour la gestion du risque opérationnel
10. Operational risk5 is inherent in all banking products, activities, processes and systems, and the effective
management of operational risk has always been a fundamental element of a bank’s risk management programme. As
a result, sound operational risk management is a reflection of the effectiveness of the board and senior management in
administering its portfolio of products, activities, processes, and systems. The Committee, through the publication of
this paper, desires to promote and enhance the effectiveness of operational risk management throughout the banking
system.
10. Le risque opérationnel5 est inhérent à tous les produits, activités, processus et systèmes bancaires et une gestion
efficace du risque opérationnel a toujours été un élément fondamental du programme de gestion du risque d'une
banque. En conséquence, une bonne gestion du risque opérationnel reflète l'efficacité du conseil et de la direction dans
l’administration de son portefeuille de produits, activités, processus et systèmes. Le Comité, par la publication de ce
document, désire promouvoir et augmenter l'efficacité de gestion du risque opérationnel dans tout le système bancaire.
11. Risk management generally encompasses the process of identifying risks to the bank, measuring exposures to
those risks (where possible), ensuring that an effective capital planning and monitoring programme is in place,
monitoring risk exposures and corresponding capital needs on an ongoing basis, taking steps to control or mitigate risk
exposures and reporting to senior management and the board on the bank’s risk exposures and capital positions.
Internal controls are typically embedded in a bank’s day-to-day business and are designed to ensure, to the extent
possible, that bank activities are efficient and effective, information is reliable, timely and complete and the bank is
compliant with applicable laws and regulation. In practice, the two notions are in fact closely related and the
distinction between both is less important than achieving the objectives of each.
11. La gestion du risque englobe généralement le processus d’identification des risques de la banque, la mesure des
expositions à ces risques (quand cela est possible), elle s’assure qu'une allocation de capital effective et un programme
de contrôle sont en place, elle contrôle de façon permanente les expositions au risque et les besoins en capital
correspondants, elle prend des mesures pour contrôler ou atténuer les expositions au risque et informe la direction et le
conseil sur les expositions de la banque au risque et sur la situation de son capital. Les contrôles internes sont
classiquement intégrés dans les activités quotidiennes d'une banque et sont conçus pour assurer, le mieux possible, que
ces activités de banque sont efficaces et efficientes, que l'information est fiable, opportune et complète et que la
banque est en conformité avec les lois et règlements applicables. En pratique, les deux notions (gestion du risque et
contrôle interne) sont de fait étroitement liées et la distinction entre elles deux est moins importante que la réalisation
des objectifs de chacune.
12. Sound internal governance forms the foundation of an effective operational risk management Framework.
Although internal governance issues related to the management of operational risk are not unlike those encountered in
the management of credit or market risk operational risk management challenges may differ from those in other risk
areas.
12. Une bonne gouvernance interne est le fondement d'un cadre de maîtrise efficace du risque opérationnel. Bien que
les questions de gouvernance interne liées à la gestion du risque opérationnel ne soient pas différentes de celles
rencontrées dans la gestion des risques de crédit ou de marché, les défis de gestion du risque opérationnel peuvent
différer de ceux d'autres secteurs de risque.
13. The Committee is seeing sound operational risk governance practices adopted in an increasing number of banks.
Common industry practice for sound operational risk governance often relies on three lines of defence – (i) business
line management, (ii) an independent corporate operational risk management function and (iii) an independent
5
Operational risk is defined as the risk of loss resulting from inadequate or failed internal processes, people and systems or from
external events. This definition includes legal risk, but excludes strategic and reputational risk.
Le risque opérationnel est défini comme le risque de pertes résultant de processus, ressources humaines et de systèmes internes
inadéquats ou défaillants, ou d'événements externes. Cette définition inclut le risque juridique, mais exclut les risques stratégiques
et de réputation.
6
review6. Depending on the bank’s nature, size and complexity, and the risk profile of a bank’s activities, the degree of
formality of how these three lines of defence are implemented will vary. In all cases, however, a bank’s operational
risk governance function should be fully integrated into the bank’s overall risk management governance structure.
13. Le Comité constate que de bonnes pratiques de gouvernance du risque opérationnel sont adoptées par un nombre
croissant de banques. La pratique commune de bonne gouvernance du risque opérationnel dans l’industrie bancaire
s’appuie souvent sur trois lignes de défense - (i) les gestionnaires de ligne d'activité, (ii) une fonction d'entreprise de
gestion du risque opérationnel indépendante et (iii) une revue indépendante6. Selon la nature de la banque, sa taille et
sa complexité, et le profil de risque de ses activités, le degré de formalisation de la manière dont ces trois lignes de
défense sont mises en œuvre variera. Dans tous les cas, cependant, la fonction de gouvernance du risque opérationnel
d'une banque devrait être entièrement intégrée dans la structure de gouvernance de gestion de l’ensemble des risques
de la banque.
14. In the industry practice, the first line of defence is business line management. This means that sound operational
risk governance will recognise that business line management is responsible for identifying and managing the risks
inherent in the products, activities, processes and systems for which it is accountable.
14. Dans la pratique de l'industrie bancaire, la première ligne de défense est la gestion du domaine d'activité. Cela
signifie qu’une bonne gouvernance du risque opérationnel fera en sorte que le gestionnaire d’une ligne d'activité soit
responsable de l'identification et de la gestion des risques inhérents aux produits, activités, processus et systèmes dont
il a la charge.
15. A functionally independent corporate operational risk function (CORF)7 is typically the second line of defence,
generally complementing the business line’s operational risk management activities. The degree of independence of
the CORF will differ among banks. For small banks, independence may be achieved through separation of duties and
independent review of processes and functions. In larger banks, the CORF will have a reporting structure independent
of the risk generating business lines and will be responsible for the design, maintenance and ongoing development of
the operational risk framework within the bank. This function may include the operational risk measurement and
reporting processes, risk committees and responsibility for board reporting. A key function of the CORF is to
challenge the business lines’ inputs to, and outputs from, the bank’s risk management, risk measurement and reporting
systems. The CORF should have a sufficient number of personnel skilled in the management of operational risk to
effectively address its many responsibilities.
As discussed in the Committee’s paper Operational Risk – Supervisory Guidelines for the Advanced Measurement Approaches, June 2011,
independent review includes the following components:
Verification of the Framework is done on a periodic basis and is typically conducted by the bank's internal and/or external audit, but may
involve other suitably qualified independent parties from external sources. Verification activities test the effectiveness of the overall Framework,
consistent with policies approved by the board of directors, and also test validation processes to ensure they are independent and implemented in
a manner consistent with established bank policies.
Validation ensures that the quantification systems used by the bank is sufficiently robust and provides assurance of the integrity of inputs,
assumptions, processes and outputs. Specifically, the independent validation process should provide enhanced assurance that the risk
measurement methodology results in an operational risk capital charge that credibly reflects the operational risk profile of the bank. In addition
to the quantitative aspects of internal validation, the validation of data inputs, methodology and outputs of operational risk models is important to
the overall process.
Comme cela a été présenté dans le document du Comité « Risque Opérationnel - Directives de supervision pour les Approches en Mesures
Avancées » de juin 2011, la revue indépendante contient les composants suivants :
La vérification du Cadre de gestion qui est faite sur une base régulière et qui est classiquement conduite par l'audit interne et/ou externe de la
banque, mais qui peut impliquer d'autres prestataires externes indépendants convenablement qualifiés. Les activités de vérification évaluent
l'efficacité de l’ensemble du Cadre de gestion, sa compatibilité avec la politique approuvée par le conseil d'administration et évaluent aussi les
processus de validation pour s’assurer qu'ils sont indépendants et mis en œuvre en cohérence avec la politique arrêtée par la banque.
La validation assure que les systèmes de quantification utilisés par la banque sont suffisamment robustes et fournissent l'assurance de l'intégrité
des données en entrée, des hypothèses, des processus et des résultats. En particulier, le processus de validation indépendant devrait renforcer
l'assurance que la méthodologie de mesure du risque aboutit à une charge en capital due aux risques opérationnels qui reflète d'une manière
réaliste le profil de risque opérationnel de la banque. Outre les aspects quantitatifs de la validation interne, la validation des données en entrée,
de la méthodologie et des résultats des modèles de risques opérationnels sont importants pour le processus complet de calcul du capital
réglementaire.
6
7
In many jurisdictions, the independent corporate operational risk function is known as the corporate operational risk management function.
Dans beaucoup de juridictions, la fonction indépendante d'entreprise de (gestion) du risque opérationnel est désignée par fonction d'entreprise
de gestion du risque opérationnel (FEGRO).
7
15. Une fonction d'entreprise de gestion du risque opérationnel (FEGRO)7 fonctionnellement indépendante est
classiquement la deuxième ligne de défense, elle complète généralement les activités de gestion du risque opérationnel
des domaines d'activité. Le degré d'indépendance de cette fonction différera selon les banques. Pour de petites
banques, l'indépendance peut être réalisée par la séparation des fonctions et la revue indépendante des processus et
fonctions. Dans de plus grandes banques, cette fonction aura une structure de rapport à la direction indépendante des
domaines d'activité où prennent naissance les risques et elle sera responsable de la conception, de la maintenance et du
développement permanent du cadre de traitement du risque opérationnel dans la banque. Cette fonction peut inclure
les processus de mesure et de déclaration du risque opérationnel, l’animation des comités des risques et la
responsabilité du rapport au conseil. L’action clef de cette fonction est de questionner de manière critique et
constructive les domaines d'activité pour alimenter, et recevoir d’eux, des rapports sur la gestion du risque de la
banque, sur la mesure des risques et les procédures y afférentes. La fonction devrait disposer d’un effectif suffisant de
personnel expérimenté dans la gestion du risque opérationnel pour assumer efficacement ses nombreuses
responsabilités.
16. The third line of defence is an independent review and challenge of the bank’s operational risk management
controls, processes and systems. Those performing these reviews must be competent and appropriately trained and not
involved in the development, implementation and operation of the Framework. This review may be done by audit or
by staff independent of the process or system under review, but may also involve suitably qualified external parties.
16. La troisième ligne de défense est une revue indépendante et un questionnement critique et constructif sur les
contrôles, les processus et les systèmes de gestion du risque opérationnel de la banque. Ceux qui exécutent ces revues
doivent être compétents et convenablement formés et non impliqués dans le développement, la mise en œuvre et
l'exécution du Cadre de gestion du risque opérationnel. Cette revue peut être faite par l'audit ou par un personnel
indépendant du processus ou du système sous revue, mais peut aussi faire appel à des prestataires externes
convenablement qualifiées.
17. If operational risk governance utilises the three lines of defence model, the structure and activities of the three
lines often varies, depending on the bank’s portfolio of products, activities, processes and systems; the bank’s size;
and its risk management approach. A strong risk culture and good communication among the three lines of defence are
important characteristics of good operational risk governance.
17. Si la gouvernance du risque opérationnel utilise le modèle à trois lignes de défense, la structure et les activités des
trois lignes varient souvent, selon le portefeuille de produits, les activités, les processus et les systèmes de la banque ;
la taille de la banque ; et son approche de la gestion du risque. Une forte culture du risque et une bonne
communication entre les trois lignes de défense sont des caractéristiques importantes d’une bonne gouvernance du
risque opérationnel.
18. Internal audit coverage should be adequate to independently verify that the Framework has been implemented as
intended and is functioning effectively8. Where audit activities are outsourced, senior management should consider the
effectiveness of the underlying arrangements and the suitability of relying on an outsourced audit function as the third
line of defence.
18. Le champ de l’audit interne doit être apte à vérifier de manière indépendante que le cadre de gestion a été mis en
œuvre comme prévu et fonctionne efficacement. Là où les activités d'audit sont externalisées, la direction devrait
s’interroger sur la qualité et la bonne exécution des conventions sous-jacentes et sur le bien-fondé de faire reposer la
troisième ligne de défense sur une fonction externalisée d'audit.
19. Internal audit coverage should include opining on the overall appropriateness and adequacy of the Framework and
the associated governance processes across the bank. Internal audit should not simply be testing for compliance with
board approved policies and procedures, but should also be evaluating whether the Framework meets organisational
needs and supervisory expectations. For example, while internal audit should not be setting specific risk appetite or
tolerance, it should review the robustness of the process of how these limits are set and why and how they are adjusted
in response to changing circumstances.
8
The Committee’s paper, Internal Audit in Banks and the Supervisor’s Relationship with Auditors, August 2001, describes the role
of internal and external audit.
8
19. Le champ de l'audit interne devrait inclure une appréciation globale sur l’adéquation et le caractère approprié du
Cadre de gestion, et des processus de gouvernance associés couvrant toute la banque. L'audit interne ne devrait pas
simplement évaluer la conformité avec la politique et les procédures approuvées par le conseil, mais devrait aussi
évaluer si le cadre méthodologique répond aux besoins organisationnels et aux attentes de la supervision. Par
exemple, alors que l'audit interne n’a pas à définir de niveaux spécifiques d’appétence ou la tolérance au risque, il
devrait passer en revue la robustesse du processus qui définit ces limites et le pourquoi et comment elles sont ajustées
en réaction aux changements de contexte.
20. Because operational risk management is evolving and the business environment is constantly changing,
management should ensure that the Framework’s policies, processes and systems remain sufficiently robust.
Improvements in operational risk management will depend on the degree to which operational risk managers’
concerns are considered and the willingness of senior management to act promptly and appropriately on their
warnings.
20. Parce que la gestion du risque opérationnel évolue et que l'environnement des affaires change constamment, la
direction devrait s’assurer que les politiques, ses processus et systèmes relevant du Cadre restent suffisamment
robustes. Les améliorations de la gestion du risque opérationnel dépendront du degré de prise en compte des
préoccupations des manageurs du risque opérationnel, et de la volonté de la direction à agir promptement et
convenablement sur leurs alertes.
9
Principes fondamentaux de gestion du risque opérationnel
Principle 1: The board of directors should take the lead in establishing a strong risk management culture. The board of
directors and senior management9 should establish a corporate culture that is guided by strong risk management and
that supports and provides appropriate standards and incentives for professional and responsible behaviour. In this
regard, it is the responsibility of the board of directors to ensure that a strong operational risk management culture 10
exists throughout the whole organisation.
Principe 1 : Le conseil d'administration devrait prendre l'initiative d’implanter une forte culture du risque. Le conseil
d'administration et la direction9 devraient instaurer une culture d'entreprise, fondée par une gestion du risque
rigoureuse, et qui soutient et fournit des références, exigences et incitations de nature à favoriser un comportement
professionnel et responsable. À cet égard, c'est au conseil d'administration que revient la responsabilité d’assurer
qu'une forte culture de gestion du risque opérationnel existe au sein de toute l'organisation.
Principle 2: Banks should develop, implement and maintain a Framework that is fully integrated into the bank’s
overall risk management processes. The Framework for operational risk management chosen by an individual bank
will depend on a range of factors, including its nature, size, complexity and risk profile.
Principe 2 : Les banques devraient développer, mettre en œuvre et entretenir un cadre de travail qui soit entièrement
intégré dans les processus de gestion de tous les risques de la banque. Le cadre de travail pour la gestion du risque
opérationnel retenu par une banque pour elle-même dépendra d'une gamme de facteurs, notamment sa nature, sa taille,
la complexité et son profil de risque.
Governance11
Gouvernance11
Le conseil d'administration
Principle 3: The board of directors should establish, approve and periodically review the Framework. The board of
directors should oversee senior management to ensure that the policies, processes and systems are implemented
effectively at all decision levels.
Principe 3 : Le conseil d'administration devrait instaurer, approuver et passer régulièrement en revue le Cadre de
gestion. Le conseil d'administration devrait superviser la direction pour s’assurer que la politique, les processus et les
systèmes sont mis en œuvre efficacement à tous les niveaux de décision.
9
This paper refers to a management structure composed of a board of directors and senior management. The Committee is aware that there are
significant differences in legislative and regulatory frameworks across countries as regards the functions of the board of directors and senior
management. In some countries, the board has the main, if not exclusive, function of supervising the executive body (senior management,
general management) so as to ensure that the latter fulfils its tasks. For this reason, in some cases, it is known as a supervisory board. This means
that the board has no executive functions. In other countries, the board has a broader competence in that it lays down the general framework for
the management of the bank. Owing to these differences, the terms “board of directors” and “senior management” are used in this paper not to
identify legal constructs but rather to label two decision-making functions within a bank.
Ce document se réfère à une structure de gestion composée d'un conseil d'administration et d'une direction. Le Comité est conscient qu'il y a des
différences significatives de structures législatives et régulatrices selon les pays en ce qui concerne les fonctions du conseil d'administration et de
la direction. Dans certains pays, le conseil a pour principale, sinon exclusive, fonction de surveiller le niveau exécutif (la direction ou direction
générale) afin d'assurer que celui-ci accomplit ses tâches. Pour cette raison, dans ces quelques cas, on le désigne sous le nom de conseil de
surveillance. Cela signifie que le conseil n'a aucune fonction exécutive. Dans d'autres pays, le conseil a une compétence plus large, par laquelle il
fixe le cadre général de gestion de la banque. Du fait de ces différences, les termes "le conseil d'administration" et "la direction" sont utilisés
dans ce document, non pas pour désigner des entités juridiques, mais plutôt pour distinguer deux fonctions du processus décisionnel dans une
banque.
10
Internal operational risk culture is taken to mean the combined set of individual and corporate values, attitudes, competencies and
behaviour that determine a firm’s commitment to and style of operational risk management.
L’expression « culture interne du risque opérationnel » est retenue pour désigner la combinaison, au niveau individuel et de l’entreprise, de
valeurs, d’attitudes, de compétences et de comportements qui déterminent l'engagement d'une entreprise à l’égard des risques opérationnels et sa
manière de les gérer.
11
See also the Committee’s Principles for enhancing corporate governance, October 2010.
10
Principle 4: The board of directors should approve and review a risk appetite and tolerance statement 12 for operational
risk that articulates the nature, types, and levels of operational risk that the bank is willing to assume.
Principe 4 : Le conseil d'administration devrait approuver et réviser une déclaration sur l’appétence et la tolérance au
risque opérationnel12 (les critères d’acceptation des risques) qui explicite la nature, les types et les niveaux de risque
opérationnel que la banque a l’intention d’assumer.
Senior Management
La direction
Principle 5: Senior management should develop for approval by the board of directors a clear, effective and robust
governance structure with well defined, transparent and consistent lines of responsibility. Senior management is
responsible for consistently implementing and maintaining throughout the organisation policies, processes and
systems for managing operational risk in all of the bank’s material products, activities, processes and systems
consistent with the risk appetite and tolerance.
Principe 5 : La direction devrait développer pour approbation par le conseil d'administration, une structure de
gouvernance claire, efficace et robuste avec des lignes de responsabilité bien définies, transparentes et cohérentes. La
direction est responsable de, successivement, mettre en œuvre puis entretenir partout dans l'organisation, une
politique, des processus et des systèmes pour gérer le risque opérationnel dans les produits, activités, processus et
systèmes de toute la banque, en cohérence avec son appétence et sa tolérance au risque.
Environnement de Gestion du risque
Identification et appréciation
Principle 6: Senior management should ensure the identification and assessment of the operational risk inherent in all
material products, activities, processes and systems to make sure the inherent risks and incentives are well understood.
Principe 6 : La Direction devrait conduire l’identification et l'appréciation du risque opérationnel, inhérent à tous les
produits, activités, processus et systèmes, pour être sûre que les risques inhérents et les incitations à la prise de risques
sont bien compris.
Principle 7: Senior management should ensure that there is an approval process for all new products, activities,
processes and systems that fully assesses operational risk.
Principe 7 : La Direction devrait s’assurer qu'il existe un processus d'approbation qui, pour tous les nouveaux produits,
activités, processus et systèmes, évalue pleinement le risque opérationnel.
Surveillance et rapports
Principle 8: Senior management should implement a process to regularly monitor operational risk profiles and material
exposures to losses. Appropriate reporting mechanisms should be in place at the board, senior management, and
business line levels that support proactive management of operational risk.
Principe 8 : La Direction devrait mettre en œuvre un processus pour contrôler régulièrement les profils de risques
opérationnels et les expositions substantielles aux pertes. Des mécanismes de rapports appropriés devraient être en
place pour informer le conseil, la direction et les responsables de domaine d'activité afin de contribuer de manière
proactive à la gestion du risque opérationnel.
”Risk appetite” is a high level determination of how much risk a firm is willing to accept taking into account the risk/return attributes; it is
often taken as a forward looking view of risk acceptance. ”Risk tolerance” is a more specific determination of the level of variation a bank is
willing to accept around business objectives that is often considered to be the amount of risk a bank is prepared to accept. In this document the
terms are used synonymously.
"L'appétence au risque" est un indicateur de haut niveau de la quantité de risque que l’entreprise est disposée à accepter compte tenu des
caractéristiques du rapport risque/profit ; il est souvent considéré comme une anticipation de l’acceptation de risque.
"La tolérance au risque" est un indicateur plus spécifique du niveau d’écart avec ses objectifs d'affaires qu’une banque est disposée à accepter ; il
est souvent considéré comme la quantité de risque qu’une banque est préparée à accepter.
Dans ce document ces deux expressions sont utilisées de manière synonyme.
12
11
Réduction et contrôle
Principle 9: Banks should have a strong control environment that utilises policies, processes and systems; appropriate
internal controls; and appropriate risk mitigation and/or transfer strategies.
Principe 9 : Les Banques devraient avoir un environnement de contrôle fort qui utilise une politique, des processus et
des systèmes ; des contrôles internes appropriés ; des stratégies appropriées de réduction et/ou de transfert des risques.
Business Resiliency and Continuity
Résilience/Robustesse et continuité d’activité
Principle 10: Banks should have business resiliency and continuity plans in place to ensure an ability to operate on an
ongoing basis and limit losses in the event of severe business disruption.
Principe 10 : Les banques devraient présenter une résilience/robustesse et avoir des plans de continuité d’activité en
place pour assurer une capacité de fonctionner de façon permanente et de limiter les pertes en cas de perturbation
majeure de l’activité.
Nota : En français pour resiliency nous apportons une nuance par deux termes :
La robustesse lorsque la perturbation subie n’est pas visible dans le fonctionnement, la résilience lorsque l’activité
reprend après un passage en mode dégradé.
Role of Disclosure
Principle 11: A bank’s public disclosures should allow stakeholders to assess its approach to operational risk
management.
Principe 11 : Les communications publiques d'une banque devraient permettre aux parties prenantes d'évaluer son
approche de la gestion du risque opérationnel.
12
Principes fondamentaux de gestion du risque opérationnel
Principle 1: The board of directors should take the lead in establishing a strong risk management culture. The
board of directors and senior management should establish a corporate culture that is guided by strong risk
management and that supports and provides appropriate standards and incentives for professional and
responsible behaviour. In this regard, it is the responsibility of the board of directors to ensure that a strong
operational risk management culture exists throughout the whole organisation.
Principe 1 : Le conseil d'administration devrait prendre l'initiative d’implanter une forte culture du risque. Le
conseil d'administration et la direction devraient instaurer une culture d'entreprise, fondée par une gestion du
risque rigoureuse, et qui soutient et fournit des références, exigences et incitations de nature à favoriser un
comportement professionnel et responsable. À cet égard, c'est au conseil d'administration que revient la
responsabilité d’assurer qu'une forte culture de gestion du risque opérationnel existe au sein de toute
l'organisation.
21. Banks with a strong culture of risk management and ethical business practices are less likely to experience
potentially damaging operational risk events and are better placed to deal effectively with those events that do occur.
The actions of the board and senior management, and policies, processes and systems provide the foundation for a
sound risk management culture.
21. Les banques dotées d’une forte culture de la gestion du risque et d’une éthique de la conduite des affaires
souffriront probablement moins d’événements potentiellement destructeurs issus de risques opérationnels et seront
mieux placées pour traiter efficacement ces événements lorsqu’ils surviendront. Les actions du conseil et de la
direction, ainsi que la politique, les processus et les systèmes fournissent la base d’une bonne culture de la gestion du
risque.
22. The board should establish a code of conduct or an ethics policy that sets clear expectations for integrity and
ethical values of the highest standard and identify acceptable business practices and prohibited conflicts. Clear
expectations and accountabilities ensure that bank staff understand their roles and responsibilities for risk, as well as
their authority to act. Strong and consistent senior management support for risk management and ethical behaviour
convincingly reinforces codes of conduct and ethics, compensation strategies, and training programmes.
Compensation policies should be aligned to the bank’s statement of risk appetite and tolerance, long-term strategic
direction, financial goals and overall safety and soundness. They should also appropriately balance risk and reward13.
22. Le conseil devrait instaurer un code de conduite ou une politique d'éthique qui pose un ensemble d’exigences
claires d'intégrité et de valeurs morales de haut niveau et identifier les procédures de gestion acceptables et les conflits
prohibés. Des exigences et des devoirs clairement établis assurent que le personnel de la banque comprend ses rôles et
responsabilités vis-à-vis du risque, ainsi que les moyens mis à sa disposition pour agir. L'appui fort et cohérent de la
direction à la gestion du risque et le comportement éthique renforcent d'une façon déterminante les codes de conduite
et d'éthique, les stratégies de rémunération et les programmes de formation. La politique de rémunération devrait être
alignée sur la position de la banque quant à son appétence et sa tolérance au risque, sur ses orientations stratégiques à
long terme, ses buts financiers et la sécurité et la bonne marche de l’entreprise en général. Elle devrait aussi équilibrer
convenablement la prise de risque et la rétribution13.
23. Senior management should ensure that an appropriate level of operational risk training is available at all levels
throughout the organisation. Training that is provided should reflect the seniority, role and responsibilities of the
individuals for whom it is intended.
23. La direction devrait s’assurer qu'un cursus approprié de formation au risque opérationnel est dispensé à tous les
niveaux dans toute l'organisation. La formation fournie devrait tenir compte de l'ancienneté, du rôle et des
responsabilités des personnes à qui elle est destinée.
13
See also: the Committee’s Report on the range of methodologies for the risk and performance alignment of remuneration, May
2011; the Financial Stability Forum’s Principles for sound compensation practices, April 2009; and the Financial Stability
Board’s FSB principles for sound compensation practices – implementation standards, September 2009.
13
Principle 2: Banks should develop, implement and maintain a Framework that is fully integrated into the
bank’s overall risk management processes. The Framework for operational risk management chosen by an
individual bank will depend on a range of factors, including its nature, size, complexity and risk profile.
Principe 2 : Les banques devraient développer, mettre en œuvre et entretenir un cadre de travail qui soit
entièrement intégré dans les processus de gestion de tous les risques de la banque. Le cadre de travail pour la
gestion du risque opérationnel retenu par une banque pour elle-même dépendra d'une gamme de facteurs,
notamment sa nature, sa taille, la complexité et son profil de risque.
24. The fundamental premise of sound risk management is that the board of directors and bank management
understand the nature and complexity of the risks inherent in the portfolio of bank products, services and activities.
This is particularly important for operational risk, given that operational risk is inherent in all business products,
activities, processes and systems.
24. Le préalable fondamental d’une saine gestion du risque est que le conseil d'administration et les cadres de la
banque appréhendent bien la nature et la complexité des risques inhérents au portefeuille de produits, services et
activités de la banque. Cela est particulièrement important pour le risque opérationnel, étant donné que le risque
opérationnel est inhérent à tous les produits, activités, processus et systèmes.
25. A vital means of understanding the nature and complexity of operational risk is to have the components of the
Framework fully integrated into the overall risk management processes of the bank. The Framework should be
appropriately integrated into the risk management processes across all levels of the organization including those at the
group and business line levels, as well as into new business initiatives’ products, activities, processes and systems. In
addition, results of the bank’s operational risk assessment should be incorporated into the overall bank business
strategy development processes.
25. Un point crucial pour faire comprendre la nature et la complexité du risque opérationnel est d’intégrer entièrement
les composants du cadre de travail dans les processus de gestion de l’ensemble des risques de la banque. Le cadre de
travail devrait être convenablement intégré dans les processus de gestion du risque à tous les niveaux de l'organisation,
y compris au niveau du groupe et au niveau des domaines d'activité, ainsi que dans les nouvelles initiatives de création
de produits, activités, processus et systèmes. De plus, les résultats de l'évaluation du risque opérationnel de la banque
devraient être incorporés dans les processus de développement de toute la stratégie d’activité de la banque.
26. The Framework should be comprehensively and appropriately documented in board of directors approved policies
and should include definitions of operational risk and operational loss. Banks that do not adequately describe and
classify operational risk and loss exposure may significantly reduce the effectiveness of their Framework.
26. Le cadre de travail devrait être sous tous ses aspects, convenablement documenté dans la politique approuvée par
le conseil d'administration et devrait inclure les définitions du risque opérationnel et de la perte opérationnelle. Les
banques qui ne décriraient pas et ne classeraient pas correctement leurs risques opérationnels et leurs expositions aux
pertes s’exposeraient à réduire de façon signifive l'efficacité de leur dispositif de maîtrise des risques.
27. Framework documentation should clearly:
27. La documentation du cadre de travail devrait clairement :
(a)identify the governance structures used to manage operational risk, including reporting lines and accountabilities;
(a) identifier les structures de direction en charge de la gestion le risque opérationnel, y compris les responsabilités et
les lignes hiérarchiques suivies par les rapports ;
(b) describe the risk assessment tools and how they are used;
(b) décrire les outils d'évaluation du risque et comment ils sont utilisés ;
(c)describe the bank’s accepted operational risk appetite and tolerance, as well as thresholds or limits for inherent and
residual risk, and approved risk mitigation strategies and instruments;
(c) décrire l'appétence et la tolérance au risque opérationnel acceptées par la banque, ainsi que les seuils ou les limites
pour le risque inhérent et résiduel et les stratégies et instruments de réduction du risque approuvés ;
14
(d) describe the bank’s approach to establishing and monitoring thresholds or limits for inherent and residual risk
exposure;
(d) décrire l'approche de la banque pour l'établissement et le contrôle des seuils et limites pour les expositions au
risque inhérent et résiduel ;
(e) establish risk reporting and Management Information Systems (MIS);
(e) élaborer les rapports et le système d'information de gestion (SIG) dédié aux risques ;
(f) provide for a common taxonomy of operational risk terms to ensure consistency of risk identification, exposure
rating and risk management objectives14;
(f) fournir une taxinomie partagée des termes relatifs du risque opérationnel pour assurer la cohérence de
l'identification du risque, de l'évaluation de l’exposition et des objectifs de la gestion du risque14 ;
(g) provide for appropriate independent review and assessment of operational risk; and
(g) fournir une revue indépendante et appropriée de l'évaluation du risque opérationnel ; et
(h) require the policies to be reviewed whenever a material change in the operational risk profile of the bank occurs,
and revised as appropriate.
(h) exiger que la politique soit passée en revue chaque fois qu'un changement significatif dans le profil de risque
opérationnel de la banque survient, et qu’elle soit révisée en tant que de besoin.
Governance
Gouvernance
Le Conseil d'administration
Principle 3: The board of directors should establish, approve and periodically review the Framework. The
board of directors should oversee senior management to ensure that the policies, processes and systems are
implemented effectively at all decision levels.
Principe 3 : Le conseil d'administration devrait instaurer, approuver et passer régulièrement en revue le Cadre
de gestion. Le conseil d'administration devrait superviser la direction pour s’assurer que la politique, les
processus et les systèmes sont mis en œuvre efficacement à tous les niveaux de décision.
28. The board of directors should:
28. Le conseil d'administration devrait :
(a) establish a management culture, and supporting processes, to understand the nature and scope of the operational
risk inherent in the bank’s strategies and activities, and develop comprehensive, dynamic oversight and control
environments that are fully integrated into or coordinated with the overall framework for managing all risks across the
enterprise;
(a) instaurer une culture de gestion, et ses processus support, pour comprendre la nature et la portée du risque
opérationnel inhérent aux stratégies et activités de la banque ; développer des environnements de surveillance et de
contrôle complets et dynamiques qui soient entièrement intégrés dans, ou coordonnés avec, le cadre général qui traite
de tous les risques dans l'entreprise ;
(b) provide senior management with clear guidance and direction regarding the principles underlying the Framework
and approve the corresponding policies developed by senior management;
(b) fournir à la direction des conseils et orientations clairs quant aux principes qui sous-tendent le cadre de travail et
approuver la politique correspondante développée par la direction ;
14
An inconsistent taxonomy of operational risk terms may increase the likelihood of failing to identify and categorise risks, or allocate
responsibility for the assessment, monitoring, control and mitigation of risks,
Un manque de cohérence dans la taxinomie du vocabulaire du risque opérationnel peut augmenter la probabilité d'échec dans l'identification et le
classement des risques, ou dans la distribution des responsabilités d’évaluation, de gestion, de contrôle, et de réduction des risques.
15
(c) regularly review the Framework to ensure that the bank has identified and is managing the operational risk arising
from external market changes and other environmental factors, as well as those operational risks associated with new
products, activities, processes or systems, including changes in risk profiles and priorities (eg changing business
volumes);
(c) passer régulièrement en revue le cadre de travail pour s’assurer que la banque a identifié et gère le risque
opérationnel lié aux changements externes sur les marchés et autres facteurs exogènes, ainsi que les risques
opérationnels associés à de nouveaux produits, activités, processus ou systèmes, y compris des changements de profil
et de priorité des risques (e.g. un changement du volume des affaires) ;
(d) ensure that the bank’s Framework is subject to effective independent review by audit or other appropriately trained
parties; and
(d) s’assurer que le cadre de travail de la banque est soumis à une revue indépendante et efficace de la part de l'audit
ou d'autres prestataires convenablement formées ; et
(e) ensure that as best practice evolves management is availing themselves of these advances15.
(e) s’assurer que lorsque les bonnes pratiques évoluent, les gestionnaires mettent à profit ces améliorations15.
29. Strong internal controls are a critical aspect of operational risk management, and the board of directors should
establish clear lines of management responsibility and accountability for implementing a strong control environment.
The control environment should provide appropriate independence/separation of duties between operational risk
management functions, business lines and support functions.
29. Des contrôles internes rigoureux constituent un aspect décisif de la gestion du risque opérationnel et le conseil
d'administration devrait instaurer des lignes claires de commandement et de responsabilité pour la mise en œuvre
d’un environnement de contrôle strict. L'environnement de contrôle devrait fournir l'indépendance et la séparation
appropriées entre les fonctions de gestion du risque opérationnel, celles des domaines d'activité et celles de support.
Principle 4: The board of directors should approve and review a risk appetite and tolerance statement for
operational risk that articulates the nature, types and levels of operational risk that the bank is willing to
assume.
Principe 4 : Le conseil d'administration devrait approuver et réviser une déclaration sur l’appétence et la
tolérance au risque opérationnel (les critères d’acceptation des risques) qui explicite la nature, les types et les
niveaux de risque opérationnel que la banque a l’intention d’assumer.
30. When approving and reviewing the risk appetite and tolerance statement, the board of directors should consider all
relevant risks, the bank’s level of risk aversion, its current financial condition and the bank’s strategic direction. The
risk appetite and tolerance statement should encapsulate the various operational risk appetites within a bank and
ensure that they are consistent. The board of directors should approve appropriate thresholds or limits for specific
operational risks, and an overall operational risk appetite and tolerance.
30. En approuvant et en passant en revue la déclaration sur appétence et la tolérance au risque (les critères
d’acceptation du risque), le conseil d'administration devrait prendre en considération tous les risques concernés, le
niveau d'aversion au risque de la banque, sa situation financière du moment et ses orientations stratégiques. La
déclaration sur l’appétence et la tolérance devrait rassembler et résumer les diverses appétences au risque opérationnel
relevées dans la banque et s’assurer qu'elles sont cohérentes. Le conseil d'administration devrait approuver
spécifiquement des seuils ou des limites appropriés pour certains risques opérationnels et approuver une appétence et
une tolérance globales pour l’ensemble des risques opérationnels.
31. The board of directors should regularly review the appropriateness of limits and the overall operational risk
appetite and tolerance statement. This review should consider changes in the external environment, material increases
in business or activity volumes, the quality of the control environment, the effectiveness of risk management or
mitigation strategies, loss experience, and the frequency, volume or nature of limit breaches. The board should
15
See the Committee’s 2006 International Convergence of Capital Measurement and Capital Standards: A Revised Framework Comprehensive Version; paragraph 718(xci).
16
monitor management adherence to the risk appetite and tolerance statement and provide for timely detection and
remediation of breaches.
31. Le conseil d'administration devrait régulièrement passer en revue la validité des limites et la déclaration sur
l'appétence et la tolérance globale au risque opérationnel. Cette revue devrait prendre en compte les changements de
l'environnement externe, des augmentations substantielles des volumes d'affaires ou d’activité, la qualité de
l'environnement de contrôle, l'efficacité de la gestion du risque ou des stratégies de réduction, le constat de pertes et la
fréquence, le volume et la nature des franchissements des limites. Le conseil devrait contrôler l'adhésion des
gestionnaires à la déclaration sur l’appétence et la tolérance au risque et fixer des délais pour la détection et la
correction des écarts.
Senior Management
La Direction
Principle 5: Senior management should develop for approval by the board of directors a clear, effective and
robust governance structure with well defined, transparent and consistent lines of responsibility. Senior
management is responsible for consistently implementing and maintaining throughout the organisation
policies, processes and systems for managing operational risk in all of the bank’s material products, activities,
processes and systems consistent with the risk appetite and tolerance.
Principe 5 : La direction devrait développer pour approbation par le conseil d'administration, une structure de
gouvernance claire, efficace et robuste avec des lignes de responsabilité bien définies, transparentes et
cohérentes. La direction est responsable de, successivement, mettre en œuvre puis entretenir partout dans
l'organisation, une politique, des processus et des systèmes pour gérer le risque opérationnel dans les produits,
activités, processus et systèmes de toute la banque, en cohérence avec son appétence et sa tolérance au risque.
32. Senior management is responsible for establishing and maintaining robust challenge mechanisms and effective
issue-resolution processes. These should include systems to report, track and, when necessary, escalate issues to
ensure resolution. Banks should be able to demonstrate that the three lines of defence approach is operating
satisfactorily and to explain how the board and senior management ensure that this approach is implemented and
operating in an appropriate and acceptable manner.
32. La direction est responsable d'instaurer et d’entretenir des mécanismes robustes de mise à l’épreuve et des
processus efficaces de résolution des problèmes. Ceux-ci devraient inclure des systèmes pour annoncer, suivre à la
trace et, quand cela est nécessaire, faire remonter les questions en suspens afin de s’assurer de la résolution des
problèmes. Les banques devraient être capables de démontrer que l'approche par les trois lignes de défense fonctionne
d'une manière satisfaisante et d’expliquer comment le conseil et la direction s’assurent que cette approche est mise en
œuvre et fonctionne de manière appropriée et acceptable.
33. Senior management should translate the operational risk management Framework established by the board of
directors into specific policies and procedures that can be implemented and verified within the different business units.
Senior management should clearly assign authority, responsibility and reporting relationships to encourage and
maintain accountability, and to ensure that the necessary resources are available to manage operational risk in line
within the bank’s risk appetite and tolerance statement. Moreover, senior management should ensure that the
management oversight process is appropriate for the risks inherent in a business unit’s activity.
33. La direction devrait transcrire le cadre de gestion du risque opérationnel établi par le conseil d'administration, dans
une politique et des procédures spécifiques qui peuvent être mises en œuvre et contrôlées dans les différentes unités.
La direction devrait attribuer clairement l'autorité, la responsabilité et les circuits de rapports pour encourager et
entretenir l’imputation des actions et s’assurer que les ressources nécessaires sont disponibles pour gérer le risque
opérationnel conformément à la déclaration de la banque sur son appétence et sa tolérance au risque. De plus, la
direction devrait s’assurer que le processus de surveillance exercés par les gestionnaires est proportionné aux risques
inhérents à l'activité de leur unité.
34. Senior management should ensure that staff responsible for managing operational risk coordinate and
communicate effectively with staff responsible for managing credit, market, and other risks, as well as with those in
the bank who are responsible for the procurement of external services such as insurance risk transfer and outsourcing
17
arrangements. Failure to do so could result in significant gaps or overlaps in a bank’s overall risk management
programme.
34. La direction devrait s’assurer que le personnel responsable de gérer le risque opérationnel se coordonne et
communique efficacement avec le personnel responsable de gérer les risques de crédit, de marché et autres risques,
aussi bien qu'avec ceux dans la banque qui sont responsables de l'acquisition de services externes, comme le transfert
du risque par l’assurance et les dispositions d'externalisation. S’en abstenir pourrait conduire à des lacunes ou à des
chevauchements significatifs dans le programme global de gestion du risque d'une banque.
35. The managers of the CORF should be of sufficient stature within the bank to perform their duties effectively,
ideally evidenced by title commensurate with other risk management functions such as credit, market and liquidity
risk.
35. Les managers de la fonction d’entreprise de gestion du risque opérationnel (FEGRO) devraient avoir un
positionnement suffisant dans la banque pour accomplir leurs missions efficacement ; idéalement ceci peut être
confirmé par une place dans l’organigramme qui soit comparable aux autres fonctions de gestion du risque comme
ceux du crédit, du marché et du risque de liquidité.
36. Senior management should ensure that bank activities are conducted by staff with the necessary experience,
technical capabilities and access to resources. Staff responsible for monitoring and enforcing compliance with the
institution’s risk policy should have authority independent from the units they oversee.
36. La direction devrait s’assurer que les activités de banque sont conduites par un personnel ayant l’expérience et
capacités techniques et les accès aux ressources, nécessaires. Le personnel responsable de contrôler et de mettre en
application la conformité avec la politique de risque de l'institution devrait disposer d’une autorité indépendante des
unités qu'ils surveillent.
37. A bank’s governance structure should be commensurate with the nature, size, complexity and risk profile of its
activities. When designing the operational risk governance structure, a bank should take the following into
consideration:
37. La structure de gouvernance d'une banque devrait être proportionnée à la nature, la taille, la complexité et le profil
de risque de ses activités. En concevant la structure de gouvernance du risque opérationnel, une banque devrait
prendre en considération les points suivants :
(a) Committee structure – Sound industry practice for larger and more complex organisations with a central group
function and separate business units is to utilise a board-created enterprise level risk committee for overseeing all
risks, to which a management level operational risk committee reports. Depending on the nature, size and complexity
of the bank, the enterprise level risk committee may receive input from operational risk committees by country,
business or functional area. Smaller and less complex organisations may utilise a flatter organisational structure that
oversees operational risk directly within the board’s risk management committee;
(a) La structure du comité - La bonne pratique de l'industrie bancaire pour les organisations les plus grandes et les plus
complexes avec une fonction centrale de groupe et des unités d'affaires séparées, est d’instituer un comité des risques
créé au niveau du conseil d'administration pour surveiller tous les risques, auquel rapporte un comité du risque
opérationnel de niveau direction. Selon la nature, la taille et la complexité de la banque, le comité des risques au
niveau de l'entreprise peut recevoir les informations de comités du risque opérationnel par pays, secteur fonctionnel ou
d’activité. Les organisations plus petites et moins complexes peuvent utiliser une structure organisationnelle plus plate
qui surveille le risque opérationnel directement dans le comité du conseil dédié aux risques ;
(b) Committee composition – Sound industry practice is for operational risk committees (or the risk committee in
smaller banks) to include a combination of members with expertise in business activities and financial, as well as
independent risk management. Committee membership can also include independent non-executive board members,
which is a requirement in some jurisdictions; and
(b) La composition du comité - La bonne pratique de l'industrie consiste en des comités du risque opérationnel (ou un
comité des risques dans des banques plus petites) rassemblant une combinaison de membres experts dans les activités
et la finance, ainsi que dans la seule gestion du risque. Des membres du comité peuvent aussi être des membres du
comité d’administration, indépendants sans fonction exécutive, ce qui est une exigence dans certaines juridictions ; et
18
(c) Committee operation – Committee meetings should be held at appropriate frequencies with adequate time and
resources to permit productive discussion and decision-making. Records of committee operations should be adequate
to permit review and evaluation of committee effectiveness.
(c) Le fonctionnement du comité - Les réunions du comité devraient se tenir à des fréquences appropriées, avec le
temps et des ressources suffisants pour permettre une discussion productive et les prises de décisions. Les rapports sur
le fonctionnement du comité devraient permettre l'examen et l'évaluation de l'efficacité du comité.
Environnement de gestion du risque
Identification et appréciation
Principle 6: Senior management should ensure the identification and assessment of the operational risk
inherent in all material products, activities, processes and systems to make sure the inherent risks and
incentives are well understood.
Principe 6 : La Direction devrait conduire l’identification et l'appréciation du risque opérationnel, inhérent à
tous les produits, activités, processus et systèmes, pour être sûre que les risques inhérents et les incitations à la
prise de risques sont bien compris.
38. Risk identification and assessment are fundamental characteristics of an effective operational risk management
system. Effective risk identification considers both internal factors16 and external factors17. Sound risk assessment
allows the bank to better understand its risk profile and allocate risk management resources and strategies most
effectively.
38. L'identification du risque et son appréciation sont les caractéristiques fondamentales d'un système de gestion du
risque opérationnel efficace. L'identification efficace du risque prend en compte à la fois les facteurs internes 16 et les
facteurs externes17. Une bonne appréciation du risque permet à la banque de mieux comprendre son profil de risque et
d’allouer des ressources et des stratégies de gestion du risque plus efficacement.
39. Examples of tools that may be used for identifying and assessing operational risk include:
39. Parmi les outils qui peuvent être utilisés pour identifier et apprécier le risque opérationnel il y a :
(a) Audit Findings: While audit findings primarily focus on control weaknesses and vulnerabilities, they can also
provide insight into inherent risk due to internal or external factors.
(a) Les constats d'audit : Bien que les investigations d'audit se concentrent principalement sur des faiblesses de
contrôle et des vulnérabilités, elles peuvent aussi fournir une compréhension des risques inhérents dus à des facteurs
internes ou externes.
(b) Internal Loss Data Collection and Analysis: Internal operational loss data provides meaningful information for
assessing a bank’s exposure to operational risk and the effectiveness of internal controls. Analysis of loss events can
provide insight into the causes of large losses and information on whether control failures are isolated or systematic 18.
For example, the bank’s structure, the nature of the bank’s activities, the quality of the bank’s human resources, organisational changes and
employee turnover.
Par exemple, la structure de la banque, la nature des activités de la banque, la qualité des ressources humaines de la banque, les changements
dans organisation et la rotation du personnel.
16
17
For example, changes in the broader environment and the industry and advances in technology.
Par exemple, les changements de l'environnement au sens large, dans l'industrie bancaire et les progrès technologiques.
18
Mapping internal loss data, particularly in larger banks, to the Level 1 business lines and loss event types defined in Annexes 8 and 9 of the
2006 Basel II document can facilitate comparison with external loss data.
18
Rapprocher les données de pertes internes, particulièrement pour de plus grandes banques, dans les domaines d'activité de niveau 1 avec les
types d'événements de pertes définis dans des Annexes 8 et 9 du document Bâle II de 2006 peut faciliter la comparaison avec des données de
pertes externes.
19
Banks may also find it useful to capture and monitor operational risk contributions to credit and market risk related
losses in order to obtain a more complete view of their operational risk exposure;
(b) La collecte des données de pertes internes et leur analyse : les données de pertes opérationnelles internes
fournissent une information significative pour évaluer l'exposition d'une banque au risque opérationnel et l'efficacité
des contrôles internes. L'analyse d'événements de perte peut fournir une compréhension des causes de grosses pertes et
l'information sur le caractère isolé ou systématique de l’échec des contrôles18. Les banques peuvent aussi trouver utile
d’enregistrer et de suivre la part des pertes liées au risque de crédit et au risque de marché attribuable au risque
opérationnel, pour obtenir une vue plus complète de leur exposition au risque opérationnel ;
(c) External Data Collection and Analysis: External data elements consist of gross operational loss amounts, dates,
recoveries, and relevant causal information for operational loss events occurring at organisations other than the bank.
External loss data can be compared with internal loss data, or used to explore possible weaknesses in the control
environment or consider previously unidentified risk exposures;
(c) La collecte de données externes et leur analyse : on entend par données externes des montants de pertes
opérationnelles brutes, leurs dates, les recouvrements, et des informations sur les causes concernant des événements de
pertes opérationnelles survenus dans d’autres organisations que la banque. Des données de perte externes peuvent être
comparées avec des données de perte internes, ou utilisées pour explorer des faiblesses possibles dans l'environnement
de maitrise du risque ou encore prendre en compte des expositions au risque précédemment non identifiées ;
(d) Risk Assessments: In a risk assessment, often referred to as a Risk Self Assessment (RSA), a bank assesses the
processes underlying its operations against a library of potential threats and vulnerabilities and considers their
potential impact. A similar approach, Risk Control Self Assessments (RCSA), typically evaluates inherent risk (the
risk before controls are considered), the effectiveness of the control environment, and residual risk (the risk exposure
after controls are considered). Scorecards build on RCSAs by weighting residual risks to provide a means of
translating the RCSA output into metrics that give a relative ranking of the control environment;
(d) Les évaluations de risque : dans une évaluation de risque, souvent désignée comme une autoévaluation de risque,
une banque évalue les processus à la base de ses opérations vis-à-vis d’un catalogue de menaces potentielles et de
vulnérabilités et estime leur impact potentiel. Une approche semblable, l’autoévaluation de la maitrise du risque,
évalue classiquement un risque inhérent (le risque avant la prise en compte des actions de réduction), l'efficacité de
l'environnement de maîtrise et de contrôle, et le risque résiduel (l'exposition au risque après la prise en compte des
actions de réduction du risque). Des palmarès quantifiés issus de ces autoévaluations obtenus en pondérant les risques
résiduels fournissent un moyen de traduire le résultat de la maîtrise des risques dans une métrique qui, en donnant un
classement, permet de comparer des environnements de maîtrise du risque ;
(e) Business Process Mapping: Business process mappings identify the key steps in business processes, activities and
organisational functions. They also identify the key risk points in the overall business process. Process maps can
reveal individual risks, risk interdependencies, and areas of control or risk management weakness. They also can help
prioritise subsequent management action;
(e) La cartographie des processus d’activité : les cartographies des processus d’activité identifient les étapes clefs des
processus, des activités et des fonctions organisationnelles. Ils identifient aussi les points clefs de risque sur
l’ensemble du processus. Les cartographies de processus peuvent révéler des risques individuels, des interdépendances
de risques et des zones de faiblesse dans les domaines du contrôle ou de la gestion du risque. Ils peuvent aussi aider à
donner des priorités entre les actions à entreprendre.
(f) Risk and Performance Indicators: Risk and performance indicators are risk metrics and/or statistics that provide
insight into a bank’s risk exposure. Risk indicators, often referred to as Key Risk Indicators (KRIs), are used to
monitor the main drivers of exposure associated with key risks. Performance indicators, often referred to as Key
Performance Indicators (KPIs), provide insight into the status of operational processes, which may in turn provide
insight into operational weaknesses, failures, and potential loss. Risk and performance indicators are often paired with
escalation triggers to warn when risk levels approach or exceed thresholds or limits and prompt mitigation plans;
(f) Les indicateurs de risque et de performance : les indicateurs de risque et de performance sont la métrique et/ou la
statistique de risque qui donne une compréhension de l'exposition au risque d'une banque. Des indicateurs de risque,
souvent désignés sous le terme d’indicateurs clefs du risque, sont utilisés pour surveiller les principales causes
d'exposition associées aux risques clefs. Des indicateurs de performance, souvent désignés sous le terme d’indicateurs
clefs de performance, donnent une compréhension du statut des processus opérationnels, qui peut à son tour fournir
20
une compréhension des faiblesses opérationnelles, des défaillances et des pertes potentielles. Les indicateurs de risque
et de performance sont souvent associés avec des déclencheurs de procédures d'escalade pour alerter quand les
niveaux de risque s'approchent de, ou dépassent, les seuils ou les limites, et pour suggérer de lancer des plans de
réduction ;
(g) Scenario Analysis: Scenario analysis is a process of obtaining expert opinion of business line and risk managers to
identify potential operational risk events and assess their potential outcome. Scenario analysis is an effective tool to
consider potential sources of significant operational risk and the need for additional risk management controls or
mitigation solutions. Given the subjectivity of the scenario process, a robust governance framework is essential to
ensure the integrity and consistency of the process;
(g) Analyse de scénario : l'analyse de scénario est un processus visant à obtenir l'avis des experts du domaine d'activité
et des manageurs de risque pour identifier des manifestations possibles de risques opérationnels et évaluer leur impact
potentiel. L'analyse de scénario est un outil efficace pour envisager les sources potentielles de risque opérationnel
significatif et identifier le besoin de solutions complémentaires de réduction et de contrôle dans la gestion du risque.
Étant donné la subjectivité du processus de scénario, une structure de gouvernance robuste est essentielle pour assurer
l'intégrité et la cohérence du processus ;
(h) Measurement: Larger banks may find it useful to quantify their exposure to operational risk by using the output of
the risk assessment tools as inputs into a model that estimates operational risk exposure. The results of the model can
be used in an economic capital process and can be allocated to business lines to link risk and return; and
(h) Mesurage : de plus grandes banques peuvent trouver utile d'évaluer quantitativement leur exposition au risque
opérationnel en utilisant les résultats des outils d'évaluation du risque comme des entrées dans un modèle qui estime
l'exposition au risque opérationnel. Les résultats du modèle peuvent être utilisés pour le traitement du capital
économique à répartir entre les domaines d'activité et pour relier le risque au profit ; et
(i) Comparative Analysis: Comparative analysis consists of comparing the results of the various assessment tools to
provide a more comprehensive view of the bank’s operational risk profile. For example, comparison of the frequency
and severity of internal data with RCSAs can help the bank determine whether self assessment processes are
functioning effectively. Scenario data can be compared to internal and external data to gain a better understanding of
the severity of the bank’s exposure to potential risk events.
(i) L’analyse comparative : l'analyse comparative consiste à comparer les résultats des divers outils d'évaluation pour
fournir une vue plus complète du profil de risque opérationnel de la banque. Par exemple, la comparaison de la
fréquence et de la gravité des données internes avec les auto-évaluations peut aider la banque à déterminer si ses
processus d’auto-évaluation fonctionnent efficacement. Les données de scénario peuvent être comparées aux données
internes et externes pour atteindre une meilleure compréhension de la criticité de l'exposition de la banque aux
manifestations de risque potentielles.
40. The bank should ensure that the internal pricing and performance measurement mechanisms appropriately take
into account operational risk. Where operational risk is not considered, risk-taking incentives might not be
appropriately aligned with the risk appetite and tolerance.
40. La banque devrait s’assurer que les mécanismes de facturations internes et de mesure des performances tiennent
convenablement compte du risque opérationnel. Là où le risque opérationnel n’est pas pris en compte, les motivations
de prise de risques peuvent ne pas être convenablement alignées sur l'appétence et la tolérance au risque de la banque.
Principle 7: Senior management should ensure that there is an approval process for all new products, activities,
processes and systems that fully assesses operational risk.
Principe 7 : La Direction devrait s’assurer qu'il existe un processus d'approbation qui, pour tous les nouveaux
produits, activités, processus et systèmes, évalue pleinement le risque opérationnel.
41. In general, a bank’s operational risk exposure is increased when a bank engages in new activities or develops new
products; enters unfamiliar markets; implements new business processes or technology systems; and/or engages in
businesses that are geographically distant from the head office. Moreover, the level of risk may escalate when new
products activities, processes, or systems transition from an introductory level to a level that represents material
sources of revenue or business-critical operations. A bank should ensure that its risk management control
21
infrastructure is appropriate at inception and that it keeps pace with the rate of growth of, or changes to, products
activities, processes and systems.
41. En général, l'exposition au risque opérationnel d'une banque est augmentée quand elle s'engage dans de nouvelles
activités ou développe de nouveaux produits ; lorsqu’elle entre sur des marchés qui lui sont peu familiers ; met en
œuvre de nouveaux processus commerciaux ou systèmes technologiques ; et/ou s'engage dans les affaires qui sont
géographiquement éloignées de son siège social. De plus, le niveau de risque peut s'intensifier quand des nouvelles
activités, nouveaux produits, processus, ou les changements de systèmes passent d'un niveau initial à un niveau qui
représente des sources substantielles de revenu ou des opérations cruciales. Une banque devrait s’assurer que son
infrastructure de contrôle de la gestion du risque est appropriée dès l’origine et qu'elle va progresser au même rythme
que le taux de croissance ou de changement des activités, produits, processus et systèmes.
42. A bank should have policies and procedures that address the process for review and approval of new products,
activities, processes and systems. The review and approval process should consider:
42. Une banque devrait avoir une politique et des procédures consacrées au processus de revue et approbation de
nouveaux produits, activités, processus et systèmes. Le processus de revue et approbation devraient prendre en
compte :
(a) inherent risks in the new product, service, or activity;
(a) les risques inhérents du nouveau produit, service, ou activité ;
(b) changes to the bank’s operational risk profile and appetite and tolerance, including the risk of existing products or
activities;
(b) les modifications du profil de risque opérationnel de la banque, de son appétence et de sa tolérance, y compris
celles portant sur les risques relatifs aux produits et activités existants ;
(c) the necessary controls, risk management processes, and risk mitigation strategies;
(c) les contrôles, les processus de gestion du risque et les stratégies de réduction de risque nécessaires ;
(d) the residual risk;
(d) le risque résiduel ;
(e) changes to relevant risk thresholds or limits; and
(e) les modifications des seuils ou des limites de risque y afférents ; et
(f) the procedures and metrics to measure, monitor, and manage the risk of the new product or activity.
(f) les procédures et les métriques pour mesurer, pour contrôler et gérer le risque du nouveau produit ou de la nouvelle
activité.
The approval process should also include ensuring that appropriate investment has been made for human resources
and technology infrastructure before new products are introduced. The implementation of new products, activities,
processes and systems should be monitored in order to identify any material differences to the expected operational
risk profile, and to manage any unexpected risks.
Le processus d'approbation devrait aussi confirmer que les investissements appropriés dans les ressources humaines et
l'infrastructure technologique ont été faits préalablement au lancement de nouveaux produits. La mise en œuvre de
nouveaux produits, activités, processus ou systèmes devrait être contrôlée pour identifier toute différence substantielle
avec le profil de risque opérationnel attendu et gérer tout risque inattendu.
22
Contrôle et rapports
Principle 8: Senior management should implement a process to regularly monitor operational risk profiles and
material exposures to losses. Appropriate reporting mechanisms should be in place at the board, senior
management, and business line levels that support proactive management of operational risk.
Principe 8 : La Direction devrait mettre en œuvre un processus pour contrôler régulièrement les profils de
risques opérationnels et les expositions substantielles aux pertes. Des mécanismes de rapports appropriés
devraient être en place vers le conseil, la direction et les responsables de domaine d'activité afin de contribuer
de manière proactive à la gestion du risque opérationnel.
43. Banks are encouraged to continuously improve the quality of operational risk reporting. A bank should ensure that
its reports are comprehensive, accurate, consistent and actionable across business lines and products. Reports should
be manageable in scope and volume; effective decision-making is impeded by both excessive amounts and paucity of
data.
43. Les banques sont encouragées à améliorer de façon continue la qualité des rapports sur le risque opérationnel. Une
banque devrait s’assurer que ses rapports sont complets, précis, cohérents et juridiquement valides quels que soient le
domaine d'activité et le produit. Les rapports devraient être utilisables en termes de champ d’application et de volume
; un processus décisionnel efficace est contrarié tant par des quantités excessives que par le manque de données.
44. Reporting should be timely and a bank should be able to produce reports in both normal and stressed market
conditions. The frequency of reporting should reflect the risks involved and the pace and nature of changes in the
operating environment. The results of monitoring activities should be included in regular management and board
reports, as should assessments of the Framework performed by the internal audit and/or risk management functions.
Reports generated by (and/or for) supervisory authorities should also be reported internally to senior management and
the board, where appropriate.
44. Les rapports devraient être fournis en temps opportun et une banque devrait être capable de produire des rapports
autant dans des conditions de marché normales que tendues. La fréquence des rapports devrait être à la mesure des
risques concernés et du rythme et de la nature des changements de l’environnement d'exploitation. Les résultats des
activités de contrôle devraient être inclus dans la gestion régulière et dans les rapports au conseil, comme devraient
l’être les évaluations du cadre de travail effectuées par l'audit interne et/ou les fonctions de gestion du risque. Les
rapports produits par (et/ou pour) des autorités de surveillance devraient aussi être présentés en interne à la direction et
au conseil, quand cela est pertinent.
45. Operational risk reports may contain internal financial, operational, and compliance indicators, as well as external
market or environmental information about events and conditions that are relevant to decision making. Operational
risk reports should include:
45. Les rapports sur les risques opérationnels peuvent contenir des indicateurs internes financiers, opérationnels et de
conformité, ainsi que des informations externes de marchés ou d’environnement sur des événements et des situations
qui sont pertinentes pour le processus décisionnel. Les rapports sur le risque opérationnels devraient inclure :
(a) breaches of the bank’s risk appetite and tolerance statement, as well as thresholds or limits;
(a) les écarts avec la déclaration de la banque en matière d’appétence et de tolérance aux risques, ainsi qu’aux seuils
ou limites;
(b) details of recent significant internal operational risk events and losses; and
(b) les détails d'événements et pertes internes, significatifs et récents, dus au risque opérationnels; et
(c) relevant external events and any potential impact on the bank and operational risk capital.
(c) les événements externes significatifs et tout impact potentiel sur la banque et sur son capital dédié aux risques
opérationnels.
23
46. Data capture and risk reporting processes should be analysed periodically with a view to continuously enhancing
risk management performance as well as advancing risk management policies, procedures and practices.
46. L’enregistrement des données et le processus de rapports sur le risque devraient être analysés régulièrement en vue
de l’amélioration continue de la performance de gestion du risque, ainsi que des progrès sur la politique, les
procédures et les pratiques de gestion du risque.
Contrôle et Réduction
Principle 9: Banks should have a strong control environment that utilises policies, processes and systems;
appropriate internal controls; and appropriate risk mitigation and/or transfer strategies.
Principe 9 : Les Banques devraient avoir un environnement de contrôle fort qui utilise une politique, des
processus et des systèmes ; des contrôles internes appropriés ; des stratégies appropriées de réduction et/ou de
transfert des risques.
47. Internal controls should be designed to provide reasonable assurance that a bank will have efficient and effective
operations; safeguard its assets; produce reliable financial reports; and comply with applicable laws and regulations. A
sound internal control programme consists of five components that are integral to the risk management process:
control environment, risk assessment, control activities, information and communication, and monitoring activities19.
47. Les contrôles internes devraient être conçus pour fournir une assurance raisonnable qu'une banque fera des
opérations efficaces et efficientes ; sauvegardera ses actifs ; produira des rapports financiers fiables; et observera les
lois et règlements applicables. Un bon programme de contrôle interne consiste en cinq composantes qui sont partie
intégrante du processus de gestion du risque : l'environnement de contrôle, l'évaluation de risque, les activités de
contrôle, l'information et la communication, et les activités de supervision19.
48. Control processes and procedures should include a system for ensuring compliance with policies. Examples of
principle elements of a policy compliance assessment include:
48. Les processus et les procédures de contrôle devraient inclure le moyen de s’assurer de la conformité à la politique.
Entre autres éléments fondamentaux d’une évaluation de conformité vis-à-vis d’une politique, on peut citer :
(a) top-level reviews of progress towards stated objectives;
(a) les revues au plus haut niveau des progrès vers les objectifs fixés ;
(b) verifying compliance with management controls;
(b) la vérification de conformité avec les contrôles faits par les manageurs ;
(c) review of the treatment and resolution of instances of non-compliance;
(c) la revue du traitement et de la résolution des cas de non conformité ;
(d) evaluation of the required approvals and authorisations to ensure accountability to an appropriate level of
management; and
(d) l'évaluation des approbations et autorisations exigées pour s'assurer d’une imputabilité à un niveau hiérarchique
approprié ; et
(e) tracking reports for approved exceptions to thresholds or limits, management overrides and other deviations from
policy.
(e) les procès-verbaux des approbations de non-respects de seuils ou limites, des dérogations hiérarchiques et des
autres écarts par rapport à la politique.
49. An effective control environment also requires appropriate segregation of duties. Assignments that establish
conflicting duties for individuals or a team without dual controls or other countermeasures may enable concealment of
19
The Committee’s paper Framework for Internal Control Systems in Banking Organisations, September 1998, discusses internal
controls in greater detail.
24
losses, errors or other inappropriate actions. Therefore, areas of potential conflicts of interest should be identified,
minimised, and be subject to careful independent monitoring and review.
49. Un environnement de contrôle efficace exige aussi la ségrégation appropriée des fonctions. Des attributions de
missions contradictoires à des individus ou à une équipe sans contrôles réciproques, ou autres contre-mesures, peuvent
permettre la dissimulation de pertes, d’erreurs ou d’autres actions inopportunes. Par conséquent, les secteurs de
conflits d'intérêt potentiels devraient être identifiés, réduits au minimum et être étroitement soumis à une revue et à
une surveillance indépendantes.
50. In addition to segregation of duties and dual control, banks should ensure that other traditional internal controls are
in place as appropriate to address operational risk. Examples of these controls include:
50. En plus de la ségrégation de fonctions et du contrôle réciproque, les banques devraient s’assurer que d'autres
contrôles internes traditionnels sont en place, comme il convient, pour traiter le risque opérationnel. Les exemples de
ces contrôles incluent :
(a) clearly established authorities and/or processes for approval;
(a) des autorités et/ou des processus d’approbation clairement établis ;
(b) close monitoring of adherence to assigned risk thresholds or limits;
(b) contrôle étroit du respect des seuils ou limites de risque fixés ;
(c) safeguards for access to, and use of, bank assets and records;
(c) des restrictions à l’accès et à l’utilisation des actifs et enregistrements preuves de la banque ;
(d) appropriate staffing level and training to maintain expertise;
(d) un niveau approprié de dotation en personnel et de formation pour entretenir l'expertise
(e) ongoing processes to identify business lines or products where returns appear to be out of line with reasonable
expectations20;
(e) des processus permanents pour identifier les domaines d'activité ou les produits dont les résultats semblent
s’écarter des attentes raisonnables20 ;
(f) regular verification and reconciliation of transactions and accounts; and
(f) des vérifications et réconciliations régulières des transactions et des comptes ; et
(g) a vacation policy that provides for officers and employees being absent from their duties for a period of not less
than two consecutive weeks.
(g) une politique de congés qui prévoit que les cadres et les employés soient absents de leur poste pour une durée d’au
moins deux semaines consécutives.
51. Effective use and sound implementation of technology can contribute to the control environment. For example,
automated processes are less prone to error than manual processes. However, automated processes introduce risks that
must be addressed through sound technology governance and infrastructure risk management programmes.
51. L'utilisation efficace et la bonne mise en œuvre de la technologie peuvent contribuer à l'environnement de
contrôle. Par exemple, les processus automatisés sont moins sujets à l'erreur que les processus manuels. Cependant, les
processus automatisés introduisent des risques qui doivent être traités par la bonne gouvernance de la technologie et
des programmes de gestion du risque sur les infrastructures.
20
For example, where a supposedly low risk, low margin trading activity generates high returns that could call into question whether such
returns have been achieved as a result of an internal control breach.
Par exemple, lorsqu’une activité de négociation réputée de risque faible et de peu de profit produit des gains élevés, l’on pourrait à être conduit à
se demander si réaliser de tels profits ne résulte pas d’un défaut de contrôle interne.
25
52. The use of technology related products, activities, processes and delivery channels exposes a bank to strategic,
operational, and reputational risks and the possibility of material financial loss. Consequently, a bank should have an
integrated approach to identifying, measuring, monitoring and managing technology risks 21. Sound technology risk
management uses the same precepts as operational risk management and includes:
52. L'utilisation de la technologie dans les produits, les activités, les processus et les canaux de distribution exposent
une banque à des risques stratégiques, opérationnels et d’image et à l’éventualité de pertes financières substantielles.
Par conséquent, une banque devrait avoir une approche intégrée pour identifier, mesurer, contrôler et gérer les risques
technologiques21. La bonne gestion du risque technologique utilise les mêmes préceptes que la gestion du risque
opérationnel et inclut :
(a) governance and oversight controls that ensure technology, including outsourcing arrangements, is aligned with and
supportive of the bank’s business objectives;
(a) des contrôles de gouvernance et de surveillance qui assurent que la technologie, y compris les dispositions
d'externalisation, est alignée sur et soutient les objectifs de la banque ;
(b) policies and procedures that facilitate identification and assessment of risk;
(b) une politique et des procédures qui facilitent l'identification et l'évaluation du risque ;
(c) establishment of a risk appetite and tolerance statement as well as performance expectations to assist in controlling
and managing risk;
(c) l'élaboration d'une déclaration sur l’appétence et la tolérance au risque ainsi que sur des exigences en matière de
performance pour aider la gestion et le contrôle du risque ;
(d) implementation of an effective control environment and the use of risk transfer strategies that mitigate risk; and
(d) la mise en œuvre d'un environnement de contrôle efficace et l'utilisation de stratégies de transfert qui atténuent le
risque ; et
(e) monitoring processes that test for compliance with policy thresholds or limits.
(e) des processus de contrôle qui évaluent la conformité avec la politique de seuils ou de limites.
53. Management should ensure the bank has a sound technology infrastructure22 that meets current and long-term
business requirements by providing sufficient capacity for normal activity levels as well as peaks during periods of
market stress; ensuring data and system integrity, security, and availability; and supporting integrated and
comprehensive risk management. Mergers and acquisitions resulting in fragmented and disconnected infrastructure,
cost-cutting measures or inadequate investment can undermine a bank’s ability to aggregate and analyse information
across risk dimensions or the consolidated enterprise, manage and report risk on a business line or legal entity basis, or
oversee and manage risk in periods of high growth. Management should make appropriate capital investment or
otherwise provide for a robust infrastructure at all times, particularly before mergers are consummated, high growth
strategies are initiated, or new products are introduced.
53. Ses gestionnaires devraient s’assurer que la banque a une bonne infrastructure technologique22 qui réponde aux
exigences d’activité actuelles et de long terme en fournissant des capacités suffisantes pour des niveaux d'activité
normaux ainsi que pour les périodes de pointe du marché ; en assurant l’intégrité, la sécurité et la disponibilité des
données et des systèmes ; et encourageant une gestion intégrée et complète du risque. Les fusions et les acquisitions
aboutissant à une infrastructure fragmentée et déconnectée, les mesures de réduction de coûts ou les investissements
inadéquats, peuvent saper la capacité d'une banque à agréger et analyser l'information dans toutes ses dimensions de
risque ou dans toute l'entreprise consolidée, à gérer les risques et produire des rapports au niveau d’un domaine
Refer also to the Committee’s July 1989 paper Risks in Computer and Telecommunication System, and its May 2001 paper Risk
Management Principles for Electronic Banking.
22 Technology infrastructure refers to the underlying physical and logical design of information technology and communication systems, the
individual hardware and software components, data, and the operating environments
L'infrastructure technologique désigne la conception physique et logique sous-jacente des technologies de l'information et des
systèmes de communication, des matériels personnels et des composants de logiciel, des données et des environnements
d'exploitation.
21
26
d'activité ou d’une personne morale, ou à surveiller et gérer le risque dans les périodes de forte croissance. Les
gestionnaires devrait faire l'investissement en capital approprié ou autrement pourvoir à une infrastructure robuste à
tout moment, particulièrement avant que les fusions ne soient consommées, que des stratégies de forte croissance
soient amorcées, ou de nouveaux produits soient lancés.
54. Outsourcing23 is the use of a third party – either an affiliate within a corporate group or an unaffiliated external
entity – to perform activities on behalf of the bank. Outsourcing can involve transaction processing or business
processes. While outsourcing can help manage costs, provide expertise, expand product offerings, and improve
services, it also introduces risks that management should address. The board and senior management are responsible
for understanding the operational risks associated with outsourcing arrangements and ensuring that effective risk
management policies and practices are in place to manage the risk in outsourcing activities. Outsourcing policies and
risk management activities should encompass:
54. L'externalisation23 est l'utilisation d'un tiers - une filiale dans le même groupe ou une entité externe non affiliée pour exercer des activités pour le compte de la banque. L'externalisation peut impliquer le traitement de transactions
ou de processus commerciaux. Quand bien même l'externalisation peut aider à maîtriser les coûts, fournir de
l'expertise, étendre des offres de produits et améliorer les services, elle introduit aussi des risques que la direction
devrait traiter. Le conseil et la direction ont la responsabilité de prendre en compte les risques opérationnels associés
aux dispositions d'externalisation et de s’assurer que la politique et des pratiques de gestion efficaces du risque sont en
place pour gérer le risque dans les activités externalisées.
La politique et la gestion du risque des activités externalisées devraient englober :
(a) procedures for determining whether and how activities can be outsourced;
(a) des procédures pour déterminer si et comment les activités peuvent être externalisées ;
(b) processes for conducting due diligence in the selection of potential service providers;
(b) des processus pour conduire les vérifications préalables au choix de fournisseurs potentiels de service ;
(c) sound structuring of the outsourcing arrangement, including ownership and confidentiality of data, as well as
termination rights;
(c) une bonne structuration de l'accord d'externalisation, comprenant la propriété et la confidentialité des données,
ainsi que les droits de résiliation ;
(d) programmes for managing and monitoring the risks associated with the outsourcing arrangement, including the
financial condition of the service provider;
(d) des programmes pour gérer et contrôler les risques associés à l'accord d'externalisation, comprenant la solidité
financière du fournisseur de service;
(e) establishment of an effective control environment at the bank and the service provider;
(e) la mise en place d'un environnement de contrôle efficace à la banque et chez le fournisseur de service;
(f) development of viable contingency plans; and
(f) le développement de plans d'urgence viables ; et
(g) execution of comprehensive contracts and/or service level agreements with a clear allocation of responsibilities
between the outsourcing provider and the bank.
(g) l'exécution de contrats de service complets et/ou d’engagements de niveau de service avec une répartition claire
des responsabilités entre le fournisseur de l’externalisation et la banque
55. In those circumstances where internal controls do not adequately address risk and exiting the risk is not a
reasonable option, management can complement controls by seeking to transfer the risk to another party such as
through insurance. The board of directors should determine the maximum loss exposure the bank is willing and has
the financial capacity to assume, and should perform an annual review of the bank's risk and insurance management
23
Refer also to the Joint Forum’s February 2005 paper Outsourcing in Financial Services.
27
programme. While the specific insurance or risk transfer needs of a bank should be determined on an individual basis,
many jurisdictions have regulatory requirements that must be considered24.
55. Dans les cas où les contrôles internes ne traitent pas convenablement le risque et où le refus du risque n’est pas une
option raisonnable, la direction peut compléter ces mesures en cherchant à transférer le risque à une autre partie via
par exemple les assurances. Le conseil d'administration devrait déterminer la perte maximale à laquelle la banque peut
s’exposer, qu’elle est disposée à assumer et dont elle est financièrement capable et il devrait procéder à une revue
annuelle du programme de gestion des risques et des assurances de la banque. Alors que les besoins spécifiques
d'assurance ou de transfert de risque d'une banque devraient être décidés sur une base individuelle, beaucoup de
juridictions ont sur ce sujet des exigences régulatrices que l'on doit prendre en compte24.
56. Because risk transfer is an imperfect substitute for sound controls and risk management programmes, banks should
view risk transfer tools as complementary to, rather than a replacement for, thorough internal operational risk control.
Having mechanisms in place to quickly identify, recognise and rectify distinct operational risk errors can greatly
reduce exposures. Careful consideration also needs to be given to the extent to which risk mitigation tools such as
insurance truly reduce risk, transfer the risk to another business sector or area, or create a new risk (eg counterparty
risk).
56. Parce que le transfert de risque est un substitut imparfait aux bons programmes de contrôle et de gestion du risque,
les banques ne devraient considérer les outils de transfert de risque que comme des compléments, plutôt que des
substituts, à un contrôle interne minutieux du risque opérationnel. Avoir des mécanismes en place pour rapidement
identifier, reconnaître et rectifier des erreurs de risque opérationnel détectées peut énormément réduire l’exposition. Il
convient d’étudier attentivement dans quelle mesure les outils de réduction de risque comme l'assurance réduisent
vraiment le risque, transfèrent le risque à un autre domaine ou secteur d’activité, ou créent un nouveau risque (e.g. le
risque de contrepartie).
Business Resiliency and Continuity
Résilience/Robustesse et continuité d'activité
Principle 10: Banks should have business resiliency and continuity plans in place to ensure an ability to operate
on an ongoing basis and limit losses in the event of severe business disruption25.
Principe 10 : Les banques devraient présenter une résilience/robustesse et avoir des plans de continuité
d’activité en place pour assurer une capacité de fonctionner de façon permanente et de limiter les pertes en cas
de perturbation majeure de l’activité.
Nota : En français pour resiliency nous apportons une nuance par deux termes :
La robustesse lorsque la perturbation subie n’est pas visible dans le fonctionnement, la résilience lorsque l’activité
reprend après un passage en mode dégradé.
57. Banks are exposed to disruptive events, some of which may be severe and result in an inability to fulfil some or all
of their business obligations. Incidents that damage or render inaccessible the bank’s facilities, telecommunication or
information technology infrastructures, or a pandemic event that affects human resources, can result in significant
financial losses to the bank, as well as broader disruptions to the financial system. To provide resiliency against this
risk, a bank should establish business continuity plans commensurate with the nature, size and complexity of their
operations. Such plans should take into account different types of likely or plausible scenarios to which the bank may
be vulnerable.
57. Les banques sont exposées à des événements perturbateurs, dont certains peuvent être graves et aboutir à une
incapacité à accomplir tout ou partie de leurs obligations. Les incidents qui endommagent ou rendent inaccessibles les
équipements, les télécommunications ou les infrastructures informatiques de la banque, ou un événement de pandémie
24
25
See also the Committee’s paper, Recognising the risk-mitigating impact of insurance in operational risk modelling, October 2010.
The Committee’s paper, High-level principles for business continuity, August 2006, discusses sound continuity principles in
greater detail.
Le document de Comité « Principes directeurs en matière de continuité d’activité » (traduction bilingue bicolore Commission bancaire 2006),
présente plus en détail les bons principes de continuité.
28
qui affecte des ressources humaines, peuvent aboutir à des pertes financières significatives pour la banque, aussi bien
qu’à des perturbations plus étendues du système financier. Pour présenter une résilience/robustesse contre ce risque,
une banque devrait établir des plans de continuité d'activité proportionnés à la nature, la taille et la complexité de ses
opérations. De tels plans devraient prendre en considération différents types de scénarios probables ou plausibles
auxquels la banque peut être vulnérable.
58. Continuity management should incorporate business impact analysis, recovery strategies, testing, training and
awareness programmes, and communication and crisis management programmes. A bank should identify critical
business operations26, key internal and external dependencies27, and appropriate resilience levels. Plausible disruptive
scenarios should be assessed for their financial, operational and reputational impact, and the resulting risk assessment
should be the foundation for recovery priorities and objectives. Continuity plans should establish contingency
strategies, recovery and resumption procedures, and communication plans for informing management, employees,
regulatory authorities, customer, suppliers, and – where appropriate – civil authorities.
58. La gestion de la continuité devrait incorporer l'analyse d'impact sur les activités, des stratégies de rétablissement,
des tests, de la formation et des programmes de sensibilisation, et des programmes de gestion de crise et de
communication. Une banque devrait identifier ses opérations critiques26, ses dépendances clefs internes et externes27,
et les niveaux de résilience/robustesse appropriés. Des scénarios perturbateurs plausibles devraient être évalués en
fonction de leur impact financier, opérationnel et de réputation et l'évaluation du risque résultante devrait constituer
une base pour établir les objectifs et priorités de rétablissement. Les plans de continuité devraient établir des stratégies
de réaction aux événements possibles, des procédures de reprise et de rétablissement et des plans de communication
pour informer les responsables, les employés, les autorités de régulation, les clients, les fournisseurs et - quand cela est
nécessaire - les autorités civiles.
59. A bank should periodically review its continuity plans to ensure contingency strategies remain consistent with
current operations, risks and threats, resiliency requirements, and recovery priorities. Training and awareness
programmes should be implemented to ensure that staff can effectively execute contingency plans. Plans should be
tested periodically to ensure that recovery and resumption objectives and timeframes can be met. Where possible, a
bank should participate in disaster recovery and business continuity testing with key service providers. Results of
formal testing activity should be reported to management and the board.
59. Une banque devrait régulièrement passer en revue ses plans de continuité pour s’assurer que les stratégies face aux
événements possibles restent compatibles avec les opérations courantes, les risques et les menaces, les exigences de
résilience/robustesse et les priorités de rétablissement. Des programmes de formation et de sensibilisation devraient
être mis en œuvre pour s’assurer que le personnel peut efficacement exécuter des plans d'urgence. Les plans devraient
être évalués régulièrement pour s’assurer que les objectifs et échéanciers de reprise et rétablissement peuvent être
atteints. Lorsque cela est possible, une banque devrait participer aux exercices de rétablissement après désastre et de
continuité d’activité avec ses fournisseurs de services essentiels. Les résultats de l'activité de tests formels devaient
être rapportés à la direction et au conseil.
A bank’s business operations include the facilities, people and processes for delivering products and services or performing core activities, as
well as technology systems and data.
Les opérations d'affaires d'une banque englobent les équipements, les personnels et les processus qui délivrent des produits et des services ou
exécutent des activités cœur de métier, ainsi que les systèmes technologiques et les données.
26
27
External dependencies include utilities, vendors and third-party service provider
Des dépendances externes englobent les fournisseurs, revendeurs et les tiers prestataires de services.
29
Role of Disclosure
Principle 11: A bank’s public disclosures should allow stakeholders to assess its approach to operational risk
management.
Principe 11 : Les communications publiques d'une banque devraient permettre aux parties prenantes d'évaluer
son approche de la gestion du risque opérationnel.
60. A bank’s public disclosure of relevant operational risk management information can lead to transparency and the
development of better industry practice through market discipline. The amount and type of disclosure should be
commensurate with the size, risk profile and complexity of a bank’s operations, and evolving industry practice.
60. La communication publique d'une banque sur des informations relatives à sa gestion du risque opérationnel peut
mener à une transparence et au développement de meilleures pratiques d'industrie à travers la discipline de marché. La
quantité et le type d’informations communiqués devraient être proportionnés à la taille, au profil de risque et la
complexité des opérations d'une banque et à l’évolution des pratiques de l’industrie bancaire.
61. A bank should disclose its operational risk management framework in a manner that will allow stakeholders to
determine whether the bank identifies, assesses, monitors and controls/mitigates operational risk effectively.
61. Une banque devrait faire connaitre son cadre de gestion du risque opérationnel de manière à permettre aux parties
prenantes de déterminer si la banque identifie, évalue, surveille, réduit et contrôle le risque opérationnel efficacement.
62. A bank’s disclosures should be consistent with how senior management and the board of directors assess and
manage the operational risk of the bank28.
62. Les informations communiquées par une banque devraient être cohérentes avec la manière dont la direction et le
conseil d'administration évaluent et gèrent le risque opérationnel de la banque28.
63. A bank should have a formal disclosure policy approved by the board of directors that addresses the bank’s
approach for determining what operational risk disclosures it will make and the internal controls over the disclosure
process. In addition, banks should implement a process for assessing the appropriateness of their disclosures,
including the verification and frequency of them29.
63. Une banque devrait avoir une politique formelle de communication, approuvée par le conseil d'administration, qui
traite de l'approche de la banque pour déterminer quelle communication elle fera sur son risque opérationnel et quels
contrôles internes elle appliquera sur ce processus de communication. De plus, les banques devraient mettre en œuvre
un processus pour évaluer la pertinence et l’opportunité de leurs communications, comprenant notamment la
vérification de leur contenu et de leur fréquence29.
28
Basel Committee on Banking Supervision, International Convergence of Capital Measurement and Capital Standards: A Revised
Framework - Comprehensive Version, Section V (Operational Risk), paragraph 646, Basel, June 2006, paragraph 810.
29 Basel Committee on Banking Supervision, International Convergence of Capital Measurement and Capital Standards: A Revised
Framework - Comprehensive Version, Section V (Operational Risk), paragraph 646, Basel, June 2006, paragraph 821.

Principes pour une bonne gestion du risque opérationnel

Transcription

Documents pareils

Shawn Barry MC Eric “The Intern”

PRéPARATION à LA CERTIFICATION FINANCIAL RISK MANAGER

Automotive Risk Manager

Nouveaux Risques pour les Entreprises Comment

Formation-Action| Le Risk Management Bancaire

préparaTion au FrM® (FinanCial riSk ManaGEr)

ASSURANCES ET GESTION DES RISQUES INSURANCE AND

Offre de stage Risk Controller La Defense

Le Choix du Bon Outil

Programme de Formation assurance des risques