La gestion du risque opérationnelRecherche

2013-2014

Préparé par :                                                                  Encadré par :

 

19

SOMMAIRE              :   

INTRODUCTION :....................................................................................................................................2

I. Définitions......................................................................................................................................3

1. Définition du risque opérationnel :.............................................................................................3

2. Définition de la gestion des risques............................................................................................3

II. Les composantes du risque opérationnel :.....................................................................................4

III. Les types du risque opérationnel :..............................................................................................5

1. La typologie des risques :............................................................................................................5

III. Les enjeux liés aux risques opérationnels :.....................................................................................10

IV. Quels dispositifs pour gérer les risques opérationnels ?..........................................................11

1. la définition d’une politique de gestion des risques :...............................................................11

2. L’identification des risques.......................................................................................................12

3. L’évaluation des risques...........................................................................................................12

4. La surveillance des risques :.....................................................................................................13

V. Les techniques d'atténuation du risque opérationnel :................................................................14

VI. Autres pratiques internes pour maitriser le risque opérationnel :...........................................15

VII. La Création de la fonction de gestion du risque opérationnel :................................................15

CONCLUSION........................................................................................................................................17

BIBLIOGRAPHIE :.................................................................................................................................18

19

INTRODUCTION   : Quelque soit le contexte économique ou le domaine d’exploitation, certaines entreprises affichent continuellement performance et croissance alors que d’autres stagnent ou disparaissent. Pourquoi selon vous? La clé de leur réussite réside dans la gestion du risque inhérent aux opérations.

Le risque opérationnel est le risque de pertes résultant d'une inadaptation ou d'une défaillance imputable à des procédures, personnels et systèmes internes, ou à des événements extérieurs, y compris les événements de faible probabilité d'occurrence, mais à risque de perte élevée. Le risque opérationnel, ainsi défini, inclut le risque juridique, mais exclut les risques stratégiques et de réputation.

Le jeudi 6 mai 2010, les marchés américains connaissent quelques minutes d’une intense panique, provoquée par la chute brutale de 37% du cours de l’action Procter & Gamble, et celle de l’indice Dow Jones, qui perd 9%. Fort heureusement, l’erreur est vite détectée, et les ordres passés dans l’intervalle sont annulés. Quelle a été la cause de cette défaillance aussi soudaine que passagère ? Selon certaines rumeurs, il s’agirait d’un trader ayant malencontreusement confondu milliards et millions. Selon d’autres sources, un dysfonctionnement informatique serait la cause du problème. Une fraude a également été évoquée. Qu’importe : dans un cas comme dans l’autre, il s’agit de la survenance d’un risque opérationnel dont les impacts, loin d’être négligeables, peuvent venir ébranler fortement une entreprise.

Cet exemple illustre bien l’importance qu’il faut donner aux risques opérationnels, qui prennent d’ailleurs toute leur ampleur lorsqu’ils sont associés à d’autres natures de risques .A cet égard nous allons tout d’abord définir le risque opérationnel avant d’entamer la typologie de ce risque et nous allons déboucher par les dispositifs de la gestion du risque opérationnel.

19

I. Définitions  

1. Définition du risque opérationnel :Le comité de Bâle définit le risque opérationnel comme le "risque de pertes provenant de processus internes inadéquats ou défaillants, de personnes et systèmes ou d'événements externes".

Cette définition recouvre les erreurs humaines, les fraudes et malveillances, les défaillances des systèmes d'information, les problèmes liés à la gestion du personnel, les litiges commerciaux, les accidents, incendies, inondations, … Autant dire que son champ d'application semble tellement large qu'on n'en perçoit pas d'emblée l'application pratique.1

De plus, la notion de risque opérationnel apparaît de prime abord comme peu novatrice, dans la mesure où les banques n'ont pas attendu le comité de Bâle pour organiser leurs activités sous forme de procédures, et pour se doter de départements d'audit interne chargés de vérifier la bonne application de ces procédures. Toutefois, des défaillances spectaculaires, comme celle de la Barings, ont attiré l'attention des autorités de tutelle sur la nécessité de doter les banques de mécanismes de prévention et de couverture (via la constitution de fonds propres dédiés) contre les risques opérationnels.

La mise en pratique prônée par le nombre croissant de réflexions consacrées à ce sujet consiste à considérer comme réalisation d'un risque opérationnel :

tout événement qui perturbe le déroulement normal des processus métier

et qui génère des pertes financières ou une dégradation de l'image de la banque (bien que cette dernière conséquence ait été explicitement exclue de la définition du comité de Bâle, elle n'en reste pas moins au centre des préoccupations).

2. Définition de la gestion des risques Avant de définir ce qu’est la gestion des risques, il est important de définir la notion de risque. Celle-ci est défini par des standards comme AS/NZS 4360:2004, (pour plus de détails, voir partie V) comme la chance qu’un événement impactant les objectifs survienne ou, par COSO 2 (Voir partie V), comme la possibilité qu’un événement se produit et affecte négativement l’accomplissement des objectifs.

1 http://www.optimindwinter.com/wp-content/uploads//2011/04/avril_dt_risques_operationnels_vf.pdf

19

Regardons ensuite, ce que la gestion des risques signifie. Reprenant différents éléments de définitions existantes, on peut définir la gestion des risques comme un processus de gestion de l’occurrence et de l’impact que ces risques peuvent engendrer lors de leur survenance. Ce processus est composé d’une identification, d’une évaluation et d’une définition des actions de mitigations afin de contrôler et surveiller les différentes conséquences négatives. Ensuite, ces risques devront être communiqués aux différentes parties concernées (COSO, ISO/IEC Guide 73, Orange Book).

II. Les composantes du risque opérationnel : Par risques opérationnels, il faut entendre les risques que l’organisation, ses acteurs et l’environnement externe font courir à la banque. Ils se décomposent en 4 sous-ensembles :2

 Le risque lié au système d’information : défaillance matérielle, bogue logiciel, obsolescence des technologies (matériel, langages de programmation, SGBD,…) ;

 Le risque lié aux processus (saisies erronées, non-respect des procédures,…) ;

 Le risque lié aux personnes (absentéisme, fraude, mouvements sociaux,… mais aussi capacité de l'entreprise à assurer la relève sur les postes clés) ;  le risque lié aux évènements extérieurs (terrorisme, catastrophe naturelle, environnement réglementaire,…).

Le Comité Bâle II a mené une analyse quantitative de ces risques sur près d’une centaine d’établissements : les résultats démontrent la fréquence et le coût global élevés des incidents opérationnels : ils génèrent en moyenne près de 90 milllions d’euros de perte. Une analyse plus fine démontre que si les sinistres les plus élevés sont aussi les mieux couverts (incendie, dégâts des eaux), c’est finalement la diversité des risques non couverts qui explique l’importance du coût final.

Les objectifs de maîtrise de ces risques opérationnels rejoignent ceux d’un système de management de la qualité : définition d’une politique générale appuyée par la direction, identification et quantification de ces risques, mise en place de mesures préventives et de mesures correctives en cas de sinistre et enfin surveillance permanente et reporting. A ceci près que les incidences de cette mesure sur le niveau des réserves financières à mobiliser rend la mise en place d'un tel outil de suivi obligatoire.2 http://www.journaldunet.com/solutions/0403/040319_chro_bpms.shtml

19

III. Les types du risque opérationnel : Toute organisation (entreprise industrielle ou commerciale, association, société de service, communauté urbaine...) est une combinaison dynamique de ressources humaines, techniques, commerciales et financières organisées pour atteindre ou maintenir un objectif.Cette organisation doit faire face à de nombreux risques susceptibles de réduire ou endommager ses ressources et de l'empêcher d'atteindre ses objectifs, voire menacer sa survie..La définition est large et il est nécessaire de construire un référentiel de catégories de risques opérationnels pour:

1. Clarifier les différentes dimensions des risques opérationnels

2. Préciser les points d’attention en matière de surveillance et contrôle des risques opérationnels

3. Avoir une compréhension commune par l’ensemble des collaborateurs d’un établissement.

1. La typologie des risques : Fraude interne : Pertes résultant d’actes visant à détourner des biens ou à

contourner des lois, des règles ou des dispositions internes (avec implication d’une partie interne à l’entreprise).

Exemples:

– Transactions non autorisées

– Abus de confiance

Fraude externe : Pertes résultant d’actes visant à détourner des biens ou à contourner des lois, des règles ou des dispositions internes (sans implication d’une partie interne à l’entreprise).

Exemples:

– Falsification de chèques

19

– Dommages dus au piratage informatique (préjudice financier consécutif par exemple à l’utilisation d’une carte de crédit volée)

Poste de travail : Pertes résultant d’actes contraires aux dispositions légales du travail ou aux conventions relatives à la sécurité ou à la santé (du personnel). Risques liés à la gestion des Ressources Humaines.

Exemples:

– Pertes liées à des grèves

– Infractions aux dispositions à la sécurité et à la santé du personnel

– Dommages et intérêts versés au titre d’actions en discrimination

– Harcèlement

Clients, produits et pratiques commerciales : Pertes résultant d’un manquement, par inattention ou par négligence, à des obligations envers des clients et pertes résultant de la nature et de la structure de certains produits.

Exemples:

– Non respect du devoir d’information de la clientèle

– Distribution à la clientèle d’un produit non autorisé à celle-ci

– Violation du secret professionnel

Dommage aux actifs corporels : Pertes résultant de dommages causés à des actifs physiques par des catastrophes naturelles ou d’autres évènements.

Exemples:

– Incendie

– Vandalisme

– Terrorisme

Interruptions d’activité et dysfonctionnement de systèmes : Pertes résultant de perturbations de l’activité ou de problèmes liés à des systèmes techniques.

19

Exemples:

– Panne d’électricité

– Dysfonctionnement d’un programme informatique

– Problème de télécommunication (forte perturbation du réseau)

Exécution, livraison et gestion des processus : Pertes résultant d’un problème dans le traitement d’une transaction ou dans la gestion des processus; pertes subies dans le cadre des relations avec les partenaires commerciaux, les fournisseurs, etc.

Exemples:

– Erreur de saisie de données

– Erreur comptable

– Non-exécution d’une tâche

– Rapport / document inadéquat remis à des externes (ayant entraîné une perte)

– Manque de documentation d’entrée en relation avec un client

– Prestation déficiente de partenaires commerciaux

– Litiges avec des fournisseurs

Un constat et des exemples historiques

• Constat: les grandes pertes historiques dans le milieu bancaire résultent du risque opérationnel.

• Quelques exemples:

– La faillite de Barings (1995): faillite suite à des positions en futures trop importantes, incapacité à répondre aux appels de marge, concentration de plusieurs fonctions sur une seule et même personne.

– L’affaire Kerviel à la Société Générale (2008): grosse perte sur des positions sur futures, un homme qui connaissait (trop) bien les systèmes front-to-back, des signaux d’alarme pris à la légère.

19

– Madoff (2008): élaboration d’un système de fraude à grande échelle; contrôle?

– L’affaire Kweku Adoboli à UBS (2011), une similitute forte avec Société Générale: grosse perte sur des positions sur futures, un homme qui connaissait (trop) bien les systèmes front-to-back, des signaux d’alarme pris à la légère.

1. Tableau récapitulatif :

Définition Exemples

Les Fraudes

internes 

Pertes dues à des actes individuels

non autorisés visant à frauder,

détourner des biens ou des

règlements, la législation ou la

politique de l'entreprise impliquant

au moins une partie interne à

l'entreprise.

Transaction non

enregistrée

intentionnellement, types

de transactions interdites,

Détournement de

capitaux, d'actifs,

Contrefaçon, octroi

anormal d’avantages

Les Fraudes

externes 

Pertes dues à des actes visant à

frauder, détourner des biens ou à

tourner des règlements, la législation

de la part d'un tiers ainsi que la

sécurité des systèmes et des réseaux

Vol, contrefaçon,

piratage informatique, vol

d'informations et

divulgations

Pertes résultant d'actes non

conformes à la législation ou aux

Questions liées aux

rémunérations, avantages

19

Les Pratiques en

matière d'emploi

et de sécurité sur

le lieu de travail 

conventions relatives à l'emploi, la

santé ou la sécurité, de demandes

d'indemnisation ou d'atteinte à

l'égalité ou actes de discrimination et

favoritisme

liés à la résiliation d'un

contrat, Activités

syndicales,

Responsabilité civile,

accidents, hygiène et

sécurité

Les Clients,

produits et

pratique

commerciales 

Pertes résultant d'un manquement

non - intentionnel ou dues à la

négligence, à une obligation

professionnelle envers des clients

spécifiques, ou de la nature ou

conception d'un produit.

violation du devoir

fiduciaire, de

recommandation,

Connaissance de la

clientèle, conformité,

diffusion d'informations,

Utilisations abusives

d'information,

insuffisances propres aux

activités de conseil,

manipulation du marché,

blanchiment, activités

illicites

Les Dommages

aux actifs

corporels 

Pertes liées à la destruction ou

dommages résultant d'une

catastrophe naturelle ou d'autres

sinistres

Tremblement de terre,

cyclone, Vandalisme,

terrorisme

Dysfonctionneme

nt de l'activité et

des systèmes 

Pertes résultant de

dysfonctionnement de l'activité ou

des systèmes (informatique et télé-

Hardware, software,

télécommunication

19

communication)

L'Exécution,

livraison et

gestion des

processus 

Pertes résultant d'un problème dans

le traitement d'une transaction ou

dans la gestion des processus ou de

relation avec les contreparties

commerciales et fournisseurs ainsi

que ceux liées au pilotage et

reporting.

Mauvaise

communication, erreur de

saisie de donnée ou

erreur de chargement,

non-respect des dates

limites, anomalie du

système, erreur

comptable, non-respect

des reporting

réglementaires, Etats

externes imprécis, accès

non autorisé aux actifs

des clients,

enregistrement incorrect.

III. Les enjeux liés aux risques opérationnels : Les enjeux de maîtrise des risques opérationnels sont bien réels et de différents ordres :3

Sécuriser le compte de résultat

Optimiser l’allocation des fonds propres dans le cadre de l’utilisation d’un modèle interne dédié

Sécuriser le cours de bourse et/ou la réputation de la société3 http://www.institutdesactuaires.com/docs/2011094000222_DANCHELLYLerisqueoperationnel.pdf

19

Améliorer ou conserver le rating (coût du refinancement)

Améliorer les organisations et réduire les risques

Se conformer à la réglementation de la professio

IV. Quels dispositifs pour gérer les risques opérationnels ?

S’approprier son dispositif de gestion des risques opérationnels revient à mettre en place une démarche structurée jalonnée par un certain nombre d’étapes indispensables parmi lesquelles figurent :

1. La définition d’une politique de gestion des risques :

Il s’agit de définir un cadre de référence qui fixe les principes et règles de gestion des risques potentiels et avérés qui affectent l’entreprise (critères d’évaluation, gouvernance du comité des risques…). En effet, les différentes activités et politiques de développement initiées par l’entreprise l’exposent à des risques opérationnels pouvant générer des pertes financières. Ces risques ne peuvent être appréhendés qu’avec l’instauration d’une véritable culture d’entreprise. La politique de gestion des risques opérationnels est le premier jalon de cet investissement après la définition de son profil de risque. Elle doit être en parfaite adéquation avec les différentes textes réglementaires, notamment Bâle II, ce qui implique la mise en place d’une veille réglementaire pour une mise à jour régulière de cette politique.

19

Enfin la définition d’une politique de gestion des risques opérationnels doit être érigée au même niveau de priorité que les actions commerciales pour éviter une dégradation de la performance de l’entreprise.

2. L’identification des risques

Cette phase consiste à identifier et structurer les risques opérationnels qui seront présentés in fine dans un support de cartographie des risques.

Il existe plusieurs approches pour parvenir à ce résultat.

Approche par les processus : il s’agit d’effectuer à partir de la cartographie des processus un inventaire des différents risques opérationnels associés aux tâches qui composent ces processus. Pour cela, une analyse s’impose sur les inputs, les processus de transformation et les outputs livrés à l’issue de chaque processus.

Approche par interview des opérationnels : ce procédé permet à partir de questionnaires préétablis de lister les risques opérationnels identifiés par les opérationnels comme étant ceux qui affectent réellement ou potentiellement leurs activités.

Quelle que soit l’approche retenue pour identifier les risques, il convient de la compléter par un rapprochement avec un benchmark sectoriel sur les risques opérationnels.

Le résultat de ces travaux doit être formalisé dans un support de cartographie qui présenterait par type de processus les risques associés.

3. L’évaluation des risques

A partir de la cartographie des risques opérationnels établis, il convient d’effectuer une évaluation des risques identifiés. Pour cela, une définition des critères d’évaluation des risques doit être effectuée pour objectiver ce processus d’évaluation.

L’observation des pratiques de place dans ce domaine permet d’identifier les critères suivants :

Gravité : c’est l’impact maximum de l’exposition réelle ou potentielle aux situations de risque. C’est le concept de risque brut.

19

Détection/Gestion : il s’agit de la capacité de l’entreprise à identifier et à réagir face aux évènements de risques. C’est la notion de dispositif de maîtrise des risques.

Occurrence : c’est la probabilité d’apparition des situations de risque. Il s’agit du concept de fréquence des événements. Pour établir cette probabilité il convient de recenser les incidents intervenus sur la période et de constituer une base d’historiques qui interviendra dans le processus décisionnel.

En synthèse, l’appréciation des risques opérationnels doit se faire au regard de ces critères, complétée de l’évaluation du risque résiduel pour obtenir le risque net.

Ce processus d’évaluation des risques opérationnels doit être intégré comme un jalon marquant et indispensable dans les process d’établissement du cycle de vie des projets et des produits.

4. La surveillance des risques :

Cette phase correspond à la mise en place d’un dispositif de suivi et de contrôle du profil de risque de l’entreprise. Elle démarre avec la détermination du niveau de risque tolérable pour l’entreprise. Ce seuil de tolérance s’entend non seulement en termes de risque maximum mais aussi en termes de risque atypique. Bien entendu, le seuil de tolérance défini par l’entreprise doit faire l’objet d’une remise en cause régulière afin de s’assurer de sa pertinence au regard de l’évolution des facteurs endogènes (politique commerciale, formation…) et exogènes (réglementation, concurrence…).

Le dispositif de surveillance défini par l’entreprise et piloté par le risk management doit permettre de :

Accroitre la visibilité sur les risques ; Mieux structurer et améliorer les processus ;

Préserver les résultats ou performances commerciales ;

Optimiser la gestion des charges ;

Affecter plus efficacement les fonds propres.

19

Pour atteindre ces objectifs, l’entreprise s’appuie sur un réseau de « correspondants risques » en charge d’un « portefeuille de risques » associé à des activités. Il s’agira pour cette équipe de :

mettre en œuvre les actions de détection des risques (notion de limites…) ;

procéder à l’analyse des facteurs causals des évènements de risques (absence de clauses d’audit dans les contrats…) ;

s’assurer de la mise en œuvre d’actions correctrices ainsi que la définition des plans de secours opérationnels (suivi des recommandations…).

Pour compléter ce dispositif, il convient de définir des indicateurs majeurs sur la gestion des risques qui pourront être présentés à tous les niveaux de l’entreprise (management, organes délibérants et exécutifs).

Cet ensemble de dispositions constituent le socle minimum nécessaire pour assurer la responsabilisation, la sensibilisation et la formation des acteurs sur les problématiques de risques.

V. Les techniques d'atténuation du risque opérationnel :

En matière de maîtrise du risque opérationnel de faible probabilité mais a un impact financier très lourd on peut opter pour d'autres techniques d'atténuation et de transfert de risques, par l'intermédiaire des polices d'assurances contre des évènements externes de risques tels que les incendies, les tempêtes....ou par la signature des contrats plus spécifiques et personnalisés contre le risque opérationnel qui y sont proposés pour se prémunir contre des menaces internes de risques tel que les fraudes ou les défaillances dans un système informatique.

L'externalisation de certains activités peut réduire le profil de risque d'un établissement en transférant certaines activités spécialisées à des entreprises qui ont plus d'expertise et d'envergure pour gérer les risques qui y sont associés.

Il convient aussi d'examiner soigneusement dans quelle mesure les instruments d'atténuation comme l'assurance et l'externalisation réduisent vraiment le risque, ou le transfèrent à un autre secteur ou domaine d'activité, voire s'ils ne créent pas un nouveau risque (par exemple, risque juridique ou risque de contrepartie).

L'investissement en technologie de traitement de l'information peut également apparaitre comme un dispositif d'atténuation du risque. En fait un bon système

19

d'information fiable et sécurisant est un élément clé pour la gestion et maitrise du risque du fait que l'informatique et les processus de traitement et d'acheminement de l'information sont des sources potentielles et non négligeable du risque opérationnel.

VI. Autres pratiques internes pour maitriser le risque opérationnel :

Le comité prévoit autres pratiques internes afin de maitriser le risque opérationnel :

La surveillance étroite du respect des limites de risque ou des seuils assignés

La mise en place des mesures de protection pour l'accès et l'utilisation des actifs et des informations de la banque.

S'assurer que le personnel à l'expertise et la formation adaptées et veuilles a une mise à jour.

Vérification et rapprochement réguliers des transactions et des comptes.

L'identification des branches ou des produits de l'activité dont les résultats semblent être en dehors des attentes raisonnables.

S'assurer que l'infrastructure du contrôle de gestion des risques suit la croissance de l'activité.

VII. La Création de la fonction de gestion du risque opérationnel :

La gestion des risques opérationnels est devenue une discipline à part entière, en termes organisationnels, cela se matérialise par la création d'une fonction de gestion du risque opérationnel.4

La fonction de gestion du risque opérationnel est un acteur clé du processus de contrôle chargé de veiller à l'existence et à l'efficacité des dispositifs permettant de maitriser les risques opérationnels. Le gestionnaire des risques opérationnels a la mission d'identifier, d'évaluer, la surveillance et la maitrise du risque. Il propose, met en place, maintient et fait évoluer en fonction des risques le dispositif de contrôle interne de l'entité, de la direction opérationnelles ou fonctionnelle ou de la ligne métier dont il est chargé. Il est assisté des autres 4 http://www.memoireonline.com/01/09/1920/m_le-processus-de-gestion-et-de-mesure-du-risque-operationnel-selon--les-exigences-de-comite-de-Bale7.html

19

acteurs du contrôle interne (management opérationnel et fonctionnel, direction des risques, pilotage du contrôle interne et audit)

19

CONCLUSION Les risques opérationnels peuvent à la fois survenir au quotidien dans le cadre d’une activité commune mais également intervenir très ponctuellement et de façon dévastatrice dans des cas extrêmes. Face à cette diversité de manifestation du risque opérationnel, les dispositifs présentés offrent un panorama complet permettant de les appréhender et de les réduire.

Les risques opérationnels peuvent à la fois survenir au quotidien dans le cadre d’une activité commune mais également intervenir très ponctuellement et de façon dévastatrice dans des cas extrêmes. Face à cette diversité de manifestation du risque opérationnel, les dispositifs présentés dans ce dossier technique offrent un panorama complet permettant de les appréhender et de les réduire.

Pour pouvoir les apprécier finement, il est absolument nécessaire d’en comprendre les contours et donc de disposer de formation ou de sensibilisation ciblée c’est-à-dire adaptée aux métiers concernés.

Bien sûr, ces dispositifs, bien que réglementaires, dépassent largement les seuls objectifs de conformité ou de calcul des fonds propres et s’inscrivent davantage dans une réelle dynamique de sécurisation de l’activité. C’est là, tout l’enjeu d’une démarche de gestion et de pilotage des risques opérationnels.

19

BIBLIOGRAPHIE   :

Banque Magazine Avril 2002, « La construction des Modèles Internes du risque Opérationnel ».

Banque Stratégie Décembre 2002, « Risque opérationnel : les priorités pour 2003 ».

Jack l. King « Opérationnel Risk» (394 p) ; Wiley France, Paris 1999.

WEBLIOGRAPHIE   :

http://www.optimindwinter.com/wp-content/uploads//2011/04/

http://www.journaldunet.com/solutions/0403/040319_chro_bpms.shtml

http://www.bnpparibas.com/nous-connaitre/conformite/risque-operationnel