Notes
-
[1]
En juin 2002, le Risk Management Group (RMG) du comité de Bâle a collecté les données de perte liées au risque opérationnel survenues au cours de l’année 2001 dans le secteur bancaire. Cette compilation des pertes opérationnelles est connue sous l’acronyme LDCE (Operational Risk Loss Data Collection Exercise). Cette étude fut réalisée à partir d’un échantillon de 89 banques de stature internationale. Les données de perte opérationnelle ont ensuite été classées par ligne d’activité (i) et type de risque (j). Les résultats du tableau 1 portent sur un total de 47000 événements de risque opérationnel pour un montant total de pertes subies avoisinant 7800 millions d’euros.
-
[2]
La convolution est une procédure mathématique qui permet de transformer les distributions de fréquence et de sévérité en une troisième distribution (la distribution de la perte agrégée) en superposant les deux premières (voir Feller, 1971, p. 143).
-
[3]
La crise grave qui secoue actuellement la sphère financière mondiale trouve probablement en partie son origine dans une recherche de rentabilité déconnectée du risque encouru.
-
[4]
Réflexion citée dans Les Échos, 16 avril 2008.
-
[5]
Organisme international qui promeut des normes communes de contrôle interne.
-
[6]
Rapport COSO II
-
[7]
Interview de Nicole El Karoui, responsable du master « probabilités et finance » de l’université Paris-VI et professeur à l’École polytechnique, Les Échos, lundi 10 mars 2008.
1Au-delà de la vision financière traditionnelle évoquant les risques de marché ou le risque de crédit comme facteur de défaillance principal des banques. Les événements observés depuis le début des années 2000 (affaire Enron, Worldcom, Parmalat ou les attentats de septembre 2001) sont venus rappeler qu’une autre source de pertes financières significatives pouvait provenir du fonctionnement opérationnel : fraudes, détournements, condamnations, dysfonctionnements. La définition officielle donnée par le comité de Bâle indique qu’il s’agit des « risques de pertes dues à l’inadéquation ou à la défaillance de processus internes dues au personnel ou aux systèmes ainsi que celles dues aux événements extérieurs ». On peut rajouter à cela le risque de réputation dont il est quasiment impossible d’évaluer les conséquences financières précisément mais qui n’est pas considéré comme un risque opérationnel. La théorie bancaire n’a pas encore pris en compte cet aspect dans son analyse sur la gestion des risques bancaires. Pour cette théorie, des décisions purement financières (comme la diversification du portefeuille de crédits ou de titres ou comme le transfert du risque vers l’assureur) ou stratégiques (comme la diversification du portefeuille d’activité) sont de nature à limiter l’exposition aux risques. Les fonds propres sont ensuite le dernier rempart pour éviter la défaillance suite à l’apparition de pertes exceptionnelles non prévisibles (Olfield et Santomero, 1997).
2Le cas des risques opérationnels montre que cette approche est incomplète. En effet l’évaluation des fonds propres nécessaires à la couverture de ces risques n’est pas suffisante et pose le problème du dimensionnement de ces fonds propres. Les travaux réalisés auprès des institutions financières montrent la nécessité d’un dispositif complet visant à maîtriser cette catégorie de risque, non pas nouvelle, mais dont les acteurs bancaires ont pris conscience de leur impact sur les résultats et la pérennité. Cet article a donc pour objectif de présenter les dimensions clés d’un système de contrôle des risques opérationnels. Plusieurs études de cas permettent ici de proposer une première évaluation des conditions d’efficacité d’un tel dispositif. Il a pour vocation à réduire les probabilités d’occurrence d’incidents opérationnels et ainsi alléger le besoin en fonds propres imposé par la nouvelle norme de Bâle II. De plus, élaborer un dispositif de contrôle visant à minimiser les conséquences financières de ces risques est donc de nature à améliorer la performance des établissements. La banque découvre ainsi d’une certaine manière la nécessité de mettre en place un dispositif de gestion de ses risques « industriels » comme dans le nucléaire ou l’industrie chimique, toutes proportions gardées. Cependant, le système bancaire, malgré ses difficultés actuelles, est assez novateur dans ce domaine en comparaison aux autres activités de services qui n’ont pas réellement intégré cette dimension dans leur cartographie des risques.
3Après avoir présenté en détail les modalités de l’évaluation quantitative de ces risques, les facteurs clés de succès d’un système de contrôle seront analysés en montrant les priorités des établissements engagés dans la mise en place de dispositifs de contrôle de ce type de risques et en insistant sur les critères d’efficacité d’un système global de contrôle.
I – LE NIVEAU DE FONDS PROPRES NÉCESSAIRE À LA COUVERTURE DES RISQUES OPÉRATIONNELS
4Les risques opérationnels sont évalués par la méthode LDA (Loss Distribution Approach). Il s’agit d’une approche actuarielle très ancienne largement utilisée en assurance, qui permet de construire la distribution de probabilité des pertes opérationnelles agrégées. Les données nécessaires au modèle sont fournies par un historique de pertes regroupées selon les huit lignes d’activité et les sept événements de risque définis par le comité de Bâle (voir tableau 1). La matrice ainsi obtenue contient 56 cellules et, pour chaque catégorie de perte ou événement de risque, il faut estimer la distribution de sévérité (le montant d’une perte) et la distribution de la fréquence (le nombre d’occurrences d’une perte) [1].
5L’étape suivante consiste à construire la distribution des pertes agrégées dues au risque opérationnel associée à chaque cellule. Le capital réglementaire associé à chaque catégorie de risque ou cellule est calculé en appliquant le concept de Value-at-Risk (VaR) au risque opérationnel. La VaR opérationnelle ou OpVaR correspond alors à un quantile de la distribution de la perte agrégée (figure 1). Le comité de Bâle précise que la période de détention h (i.e., l’horizon de calcul) est fixée à un an et que l’intervalle de confiance a est 99,9 %. Ensuite le processus dévaluation comporte trois phases.
Matrice des pertes distribuées selon la ligne d’activité et le type de risque*
Matrice des pertes distribuées selon la ligne d’activité et le type de risque*
1. Estimation de la distribution de la fréquence de la perte
6La distribution de la fréquence (le nombre de pertes pour l’activité i dû au type de risque j) est généralement estimée par une loi de Poissonen raison de sa commodité (Frachot et al., 2003; Mignola et Ugoccioni, 2005). Elle est utilisée avec succès dans le domaine de l’assurance pour modéliser des problèmes similaires, et ne nécessite qu’un seul paramètre (la moyenne du nombre annuel de pertes) pour être entièrement définie. En outre, l’estimation de ce paramètre se fait sans difficulté à l’aide d’une technique d’estimation statistique très populaire : la méthode du maximum de vraisemblance (Maximum Likelihood ou ML).
2. Estimation de la distribution de sévérité de la perte
7On suppose le plus souvent que la distribution de sévérité suit une loi lognormale de paramètres µet ?2, estimés par les méthodes du maximum de vraisemblance ou des moments généralisés (Generalized Method of Moments ou GMM). L’estimation directe de la distribution de sévérité du risque opérationnel est souvent difficile, car les données utilisées sont souvent entachées de différentes sources de biais (Roncalli, 2004).
8Ces biais surviennent lorsqu’on mélange des données de même nature mais qui ont été collectées de manière différente (biais de collecte ou de reporting) où qu’on mélange des données fondamentalement différentes (biais d’échelle ou de scaling). Afin de pallier la présence de données tronquées dans l’estimation de la distribution de sévérité, le comité de Bâle (2006, p. 153) précise que la banque doit avoir fixé un seuil de 10000 euros pour les données de pertes à collecter. Il précise également que le système de mesure du risque opérationnel d’une banque doit utiliser des données externes pertinentes (données publiques et/ou agrégées) sur l’ensemble du secteur bancaire.
La VaR opérationnelle (OpVaR) à 99,9 %
La VaR opérationnelle (OpVaR) à 99,9 %
3. Estimation de la distribution de la perte agrégée
9Une fois que les distributions de fréquence
et de perte sont calibrées, on peut calculer
la perte totale ou agrégée pour la ligne d’activité i et le type de risque j entre les dates t
et t+h (h est fixé à un an par le comité). Elle
est définie par:
où Xn (i, j) est la variable aléatoire représentant le montant d’une perte (sévérité) pour l’activité i et le type de risque j, et N(i, j) est la variable aléatoire de comptage (nombre d’événements de perte pour l’activité i dû au type de risque j) de fonction de probabilité pi, j.
10On suppose que le nombre d’événements
de perte (les occurrences) est aléatoire entre
les dates t et t+h, que les sévérités (le montant des pertes) sont indépendantes les unes
des autres, et qu’elles sont indépendantes
de la fréquence des pertes (Frachot et al.,
2004). La distribution de probabilité de
L(i, j), notée Gi, j (x), est la distribution composée suivante:
où Fi, j est la distribution de la sévérité des pertes. L’astérisque indique la convolution dans la fonction F, où Fn* indique n-fois la convolution de F avec elle-même [2]. La distribution composée G(x) s’obtient alors par simulation Monte Carlo (voir Klugman et al., 2004, chapitre 17) ou en utilisant des algorithmes numériques comme celui de Panjer.
11Une fois la distribution de la perte agrégée
estimée, il ne reste plus qu’à calculer la
charge en capital (Capital-at-Risk ou CaR)
pour la ligne de métier i et le type de risque
j, autrement dit le quantile à a = 99,9 % de
cette distribution. Si on respecte strictement
les recommandations du comité de Bâle
(2006, p. 151), la charge en capital devrait a
priori couvrir les seules pertes exceptionnelles (unexpected loss ou UL), puisque les
pertes moyennes (expected loss ou EL) sont
censées être couvertes par des provisions ou
imputées sur le résultat courant. Dans ce cas,
la charge en capital CaR est donnée par:
Cependant, si la banque ne parvient pas à démontrer au régulateur que les pertes moyennes ont été couvertes, la charge en capital doit couvrir la somme des pertes exceptionnelles (UL) et moyennes (EL). Dans ce cas, la mesure du risque opérationnel correspond bien à une valeur en risque, autrement dit CaR et OpVaR sont identiques:
où Gi, j–1 ( ? ) est le quantile à 99,9% de la distribution de la perte totale ou agrégée Gi, j (x). La charge en capital (CaR) totale de la banque s’obtient alors en agrégeant les 56 mesures individuelles de risque opérationnel associées aux 56 cellules de la matrice des pertes (voir tableau 1), soit:
Ce mode de calcul des fonds propres réglementaires au titre du risque opérationnel repose sous l’hypothèse de corrélation parfaite des pertes totales. Or, d’un point de vue théorique, on peut très bien admettre qu’elles ne sont pas parfaitement corrélées. Faire la simple somme de toutes les charges en capital est donc sûrement très conservateur en termes de risque. Frachot et al. (2004) présentent d’ailleurs des arguments techniques en faveur d’un effet de diversification significatif. Pour la banque, cet effet est intéressant à prendre en compte car il peut réduire de manière significative la charge totale en capital. Le comité de Bâle peut autoriser la banque à appliquer des corrélations entre les estimations individuelles de risque opérationnel déterminées en interne. Elle doit alors démontrer à son autorité de contrôle que ses systèmes de détermination des corrélations sont sains et mis en œuvre avec intégrité. En d’autres termes, il appartient à la banque de valider ses hypothèses de corrélation.
II – LES PRIORITÉS EN MATIÈRE DE GESTION DU RISQUE OPÉRATIONNEL
12La plupart des banques ont développé un modèle de risque opérationnel ou ORF (Operational Risk Framework) afin de respecter les normes réglementaires. Un ORF est destiné à remplir deux objectifs principaux. D’une part, assurer la mise en place de processus durables de suivi des risques opérationnels pour satisfaire les exigences externes en matière d’audit et de reporting des pertes opérationnelles (e.g. Sarbanes-Oxley 404). D’autre part, développer une métrique d’évaluation du risque, développer des cartographies de risque standards, et mettre en œuvre une base de données exhaustive, sorte d’inventaire du risque opérationnel ou ORI (Operational Risk Inventory) qui recense et trace les facteurs de risque, les incidents et les traitements associés, et plus globalement la surface d’exposition de la banque au risque opérationnel. Un ORF n’a de sens qu’à la condition d’assurer un certain degré de résilience opérationnelle. Comme le montre la figure 2, la structure d’un ORF repose sur cinq principes fondamentaux qui doivent être activés au sein de la banque :
- la responsabilisation des différents niveaux de management;
- l’indépendance de la fonction en charge du contrôle du risque;
- communiquer sur le risque;
- sécuriser le Produit net bancaire;
- préserver la réputation et l’image de la banque.
Les cinq piliers de la résilience opérationnelle
Les cinq piliers de la résilience opérationnelle
13Un modèle de résilience opérationnelle est un ensemble de techniques et de moyens dont l’objectif est d’accroître la capacité d’une banque à faire face à des événements extrêmes.
14De ces principes découle une redéfinition et un nouveau partage des tâches et responsabilités dans la banque. La gestion du risque opérationnel est désormais enchâssée dans l’activité même de la banque, alors que la partie contrôle du risque demeure une fonction indépendante responsable de l’intégrité des décisions risque-rentabilité [3]. Dans cette configuration, toutes les fonctions d’un ORF sont dédiées à l’évaluation et surtout au contrôle du risque. Le rôle d’un ORF est clairement de mobiliser l’organisation autour du risque opérationnel via des équipes centralisées ou la participation à divers comités d’évaluation. La fonction risque opérationnel doit par conséquent encastrer l’ORF dans les structures de gouvernance de la banque, son système de reporting et l’ensemble de ses processus. La figure 3 illustre comment s’articulent les six étapes ou composantes clés d’un ORF :
- Lignes de conduite, normes et directives. Un ORF requiert une documentation de contrôle détaillée et complète, permettant de vérifier que les processus de la banque fonctionnent correctement et efficacement. Cette documentation doit donc inclure des procédures standards de contrôle, des indicateurs, etc.
- – Recueil des données. Pour renseigner l’ORF, les responsables des différents domaines d’activité et la fonction risque opérationnel doivent recenser et rassembler un volume de données considérable à partir de sources diverses : les révélateurs de risque. Il peut s’agir de processus d’autocertification, d’événements financiers, d’événements non financiers et externes, de métriques, de rapports d’audit, et d’évaluations top-down ou réalisées par des spécialistes.
- Identification et analyse des facteurs de risque. À partir des données de risque, les facteurs de risque sont identifiés et leur impact potentiel évalué. En fonction de leur fréquence d’occurrence et de la sévérité de la perte associée, un rating rouge, orange ou vert leur est attribué. Bien entendu, l’évaluation de ces risques sert également à déterminer le capital économique de la banque.
- Réponse. Basée sur l’évaluation précédente, une réponse appropriée à la situation de risque est élaborée (e.g. éviter, assurer/transférer, gérer, accepter), et un plan d’action est activé en fonction.
- Reporting. Tout ce qui relève du risque opérationnel est ensuite remonté aux divers comités pour évaluation.
- Inventaire de risque opérationnel (ORI).La totalité des données précédentes ayant fait l’objet du reporting est stockée dans la base de données ORI. Il ne s’agit pas de simplement sauvegarder les impacts potentiels des facteurs de risque qui ont pu être identifiés, mais aussi et surtout de définir des actions correctrices spécifiques. Ces informations seront ensuite utilisées pour mettre en place des mécanismes de contrôle.
- Contrôle. Le contrôle du risque opérationnel ou ORC (Operational Risk Control) est responsable de l’efficacité du modèle de risque opérationnel (ORF). Cette fonction indépendante est au cœur du dispositif de risque de la banque (voir figure 3). Il s’agit en effet de s’assurer que les processus de gestion du risque opérationnel sont correctement activés par le management des lignes d’activité/métiers. L’ORC doit également vérifier la mise en action effective de l’ORF au niveau de ces lignes/métiers et l’intégrité du processus de recueil des données de risque.
Les six étapes clés de la gestion du risque opérationnel
Les six étapes clés de la gestion du risque opérationnel
15Dans beaucoup de banques, ces modèles de risque opérationnels ORF ont permis de répondre aux exigences réglementaires externes telles que Bâle II et Sarbannes-Oxley. Les banques ont pu mesurer, suivre et gérer au plus près leur capital économique. Elles ont aussi démontré (à quelques exceptions notables près quand même) qu’elles étaient capables de mettre en œuvre des pratiques robustes et saines de gestion et de contrôle du risque opérationnel, même si celles-ci revêtent un caractère légal obligatoire. Enfin, elles sont parvenues à cristalliser l’action managériale sur la définition et la mise en place de contrôles internes adéquats du reporting financier global. Cependant, dans l’environnement actuel, être conforme ou synchrone avec les exigences du régulateur (ce que les Anglo-Saxons appellent la « compliance ») ne suffit plus. Les modèles de risque opérationnel ORF ont en effet montré leurs limites à plusieurs niveaux :
- Anticiper et détecter au plus tôt des comportements ou des situations anormales. Les indicateurs (ou « révélateurs ») de risque mais aussi les mesures proprement dites actuellement en vigueur sont résolument tournées vers le passé de la banque, autrement dit son historique de risque. De fait, elles sont d’une utilité très discutable à des fins de détection. Les banques doivent être en capacité de relier différents types d’information et de connaissance afin de transformer des signaux faibles en signaux forts. Or, la fragmentation des départements dédiés au risque, qui plus est organisés en silos fonctionnels, empêche toute amélioration signi-
- cative de la gestion du risque au sein de la banque.
- Développer une approche intégrée du contrôle du risque et identifier les points de vulnérabilité. La structure de contrôle du risque dans les banques ressemble souvent à un patchwork d’exigences réglementaires diverses, et peut par conséquent se révéler incohérente et incomplète. Intégrer les différents processus/outils de contrôle faciliterait la détection de comportements suspects et permettrait de renoncer à un pseudo sentiment de sécurité et de protection, au profit d’une vision objective de la capacité réelle de la banque à détecter et gérer le risque.
- Insuffler une culture du risque. Certaines banques compensent les déficiences de leur structure de contrôle en essayant d’instaurer une culture d’alerte en matière de risque. Dans la plupart des cas, cependant, une démarche orientée exclusivement sur les résultats attendus est inappropriée, tout simplement parce qu’elle excède très largement les capacités effectives de suivi et contrôle du risque de la banque. Il est donc nécessaire que les banques parviennent à instituer des pratiques de gestion du risque qui ne se résument pas à la simple application de méthodes et processus rigides et normalisés. Ces nouvelles pratiques doivent véritablement s’encastrer dans la culture de la banque.
- Expliciter les responsabilités tout au long du processus de contrôle. Les régulateurs et les auditeurs ont poussé les banques à ériger de multiples lignes de défense afin de mieux contrôler le risque. Malheureusement, l’adoption de ce modèle s’est traduite par une chaîne de responsabilité inopérante.
- Initier des changements organisationnels. Les banques ont tendance à se focaliser sur les symptômes superficiels du risque opérationnel, au lieu d’identifier et travailler sur les causes profondes de celui-ci. Réduire sensiblement le risque opérationnel d’une banque impose d’intervenir en profondeur à différents niveaux. Il peut s’agir par exemple de l’amélioration des processus (de mesure, de contrôle, etc.) ou des infrastructures (inventaire et stockage des données, chaîne de responsabilité, etc.).
16Afin d’améliorer ce dispositif et de contribuer à prendre en compte les éléments qui viennent d’être évoqués, il est aujourd’hui nécessaire de travailler sur un système global de contrôle.
III – LES CRITÈRES FONDAMENTAUX D’EFFICACITÉ D’UN SYSTÈME DE CONTRÔLE INTERNE BANCAIRE
17Les établissements financiers sont dans l’obligation, depuis une dizaine d’années, de concevoir un dispositif de contrôle
18interne précis. Le règlement du Comité de la réglementation bancaire et financière CRBF 07-02 décrit avec précision les modalités de ce dispositif qui va au-delà de l’entreprise bancaire et implique différentes catégories d’acteurs internes et externes : direction générale, comités d’audit, auditeurs externes, régulateur, etc.
19La philosophie du CRBF 97-02 ainsi que celle du pilier 2 de Bâle II est beaucoup plus organisationnelle et tournée vers la prise en compte des risques opérationnels et constitue une approche plus qualitative de la gestion de cette catégorie de risques. Un grand nombre de banques considèrent que ces derniers sont, pour l’essentiel, issus de la défaillance des contrôles internes ainsi qu’au non respect des procédures (comme dans le cas de la Société Générale). La performance opérationnelle et financière de ces institutions est donc largement dépendante de l’efficacité du dispositif de couverture des risques opérationnels (Jimenez et Merlier, 2004).
1. L’efficacité des acteurs du dispositif de contrôle interne
20L’efficacité du système de contrôle suppose d’abord l’efficacité des acteurs participants à ce dispositif. On peut distinguer deux grandes catégories d’acteurs : les collaborateurs de l’entreprise sous la responsabilité de la direction générale qui doit proposer une organisation respectant les grands principes de cette fonction; les acteurs externes à l’entreprise exerçant pour la plupart une mission réglementaire de surveillance des établissements financiers.
- Les acteurs internes du contrôle interne.
- Le service contrôle interne : il est rattaché directement à la direction générale et son indépendance est une nécessité. Son rôle est d’aider l’ensemble des services de la banque à mener à bien la démarche. Il est une sorte de consultant interne chargé de vérifier la faisabilité et l’efficacité des contrôles mis en œuvre. L’erreur commise par beaucoup d’établissements est de lui donner un rôle répressif alors qu’il doit avoir avant tout un rôle de conseil et être une force de proposition vis-à-vis des services et de la direction générale.
- Les collaborateurs de la banque : chaque collaborateur a, dans ses missions, une activité de contrôle. En effet le premier niveau de contrôle est réalisé par ceux effectuant les opérations et par leur hiérarchie au sein d’un service. Le personnel doit donc être sensibilisé à cette tâche pour ne pas la réaliser de façon désinvolte ou en considérant qu’elle n’est pas source de risques graves. Les collaborateurs des services supports du siège sont eux aussi en charge de contrôle dit de second niveau. Ils permettent de corriger les anomalies que les premiers contrôles ont laissé passer.
- L’audit interne : aussi appelé l’inspection, son rôle est vraiment d’effectuer « le contrôle des contrôles » dans une logique coercitive. Il est également dépendant directement de la direction générale et réalise des interventions, programmées ou non, au sein de l’ensemble des services. Il est primordial que ce service soit bien distinct de celui de contrôle interne et que les personnes réalisant les missions d’audit soient différentes de celles assurant des missions de contrôle interne afin d’éviter la confusion auprès des collaborateurs. L’objectif est donc de mesurer et de contrôler l’application des plans de contrôle interne au sein de l’établissement.
- Les acteurs externes du contrôle interne
- Le régulateur : derrière ce terme générique plusieurs organismes sont en mesure de réaliser des missions de vérification relatives au fonctionnement du système de contrôle. Au premier rang on retrouve la commission bancaire qui est l’organisme chargé de vérifier le respect des règlements bancaires et notamment celui relatif au contrôle interne. L’autorité des marchés financiers possède aussi cette faculté car la plupart des établissements sont aujourd’hui cotés et sont donc soumis à ce type de contrôle. La Banque de France enfin qui garde quelques prérogatives aussi en la matière. Plus généralement, la régulation du système bancaire repose sur des organismes de normalisation comme le comité de Bâle qui a proposé à la fois des normes prudentielles quantitatives relatives aux fonds propres mais également des éléments plus qualitatifs comme le renforcement et la généralisation du dispositif de contrôle interne. Par ailleurs des organismes comme l’IAS ou des réglementations comme la loi Sarbanne-Oxley imposent aujourd’hui un dispositif d’information précis sur ce sujet à toute société cotée. Le problème pour les grandes entreprises internationales est de combiner ces différents référentiels, parfois contradictoires malgré certains points communs.
- L’audit externe : il est réalisé par les grands cabinets spécialisés qui se partagent le travail sur un établissement (deux auditeurs sont nécessaires). Dans le cas des banques ces cabinets développent une méthodologie spécifique, d’abord en raison de l’information financière particulière produite (Lamarque, 2008) mais également en raison de leur rôle d’intermédiation ou de l’importance des opérations de marché qu’elles réalisent. Parmi les sujets clés de ces audits on peut citer l’analyse de l’environnement pour repérer les éléments pouvant affecter l’activité tels que les évolutions de la réglementation, de la démographie, de la croissance économique mais également évaluer les changements dans les comportements de la clientèle et de l’ensemble des parties prenantes.
22La culture risque a été évoquée précédemment. L’auditeur externe doit évaluer la prégnance de cette préoccupation au sein des équipes dirigeantes ainsi qu’à tous les niveaux de l’organisation. Il se fonde principalement pour cela sur des informations écrites relatant le plan de développement commercial, la stratégie et les principales orientations retenues par la banque. À partir de ces documents l’auditeur se fera une idée de l’exposition au risque. Le reporting et les outils du contrôle de gestion sont d’une grande importance à ce niveau car ils illustrent en général assez bien l’intensité de cette préoccupation au sein d’un établissement. L’auditeur va alors évaluer la capacité qu’il a à suivre les risques au regard de ces documents.
23L’appréciation et l’analyse de chaque risque : le principe fondamental est celui de l’exhaustivité comme cela a déjà été évoqué. En trois ou quatre ans l’ensemble des départements et des services doivent avoir été audités et tout manquement en la matière est réellement porteur d’accusation de laxisme et d’un risque de réputation. L’auditeur doit se livrer à un travail de compréhension du dispositif de gestion des risques de l’établissement et n’a pas pour rôle d’imposer une méthode prédéfinie. Ce travail consiste à regarder si les mesures prises par la banque en vue de les minimiser sont efficaces et adéquates.
24Seule une telle analyse permet de s’assurer que les risques sont bien identifiés et correctement reflétés dans les comptes annuels. À ces trois axes s’ajoutent une analyse du respect des conditions d’autorisation données aux cadres de la banque et plus généralement des règles de comportement.
25– Les agences de notation : elles sont pour mission d’évaluer le niveau de risque d’un établissement grâce aux notes qu’elles leur attribuent. Fortement mise en cause au moment de la crise des « subprimes » pour leur vision erronée des risques, elles font l’objet de suspicions quant à leur indépendance. Cette situation les conduit aujourd’hui à redéfinir certains paramètres pour évaluer l’exposition aux risques en particulier sur les marchés financiers.
26Standard & Poor’s notamment vient d’annoncer se doter d’un ratio de solvabilité propre le RAC ou « Risk Adjusted Capital » considérant ainsi comme insuffisants les changements prudentiels imposées par Bâle 2. C’est la première fois qu’une agence va plus loin que les recommandations des autorités de régulation. Ce système, sur le fond, n’est cependant pas nouveau, le Risk Adjusted Return On Capital relevait de cette logique (Godowski, 2008). Standard & Poor’s fait un constat simple et identique à celui de beaucoup de professionnels. Le nouveau dispositif Bâle II est appliqué de façon assez disparate aujourd’hui. Des banques retiennent finalement la méthode « standard » proche de Bâle I, d’autres ont vu leur méthodes « avancées » validée par les autorités de contrôle, d’autres encore ne sont toujours pas passés à Bâle II. Les écarts d’évaluation sont donc importants. Entre une perte estimée à 10 % de son portefeuille de crédit hypothécaire et une perte estimée, par une autre méthode, à 15 %, le besoin en fonds propres s’accroît de 50 %. L’estimation avancée par Standard & Poor’s conduirait à multiplier par trois les besoins en fonds propres réglementaires sur le risque de marché par exemple [4]. Par ailleurs Bâle II n’est pas entré en vigueur aux États-Unis et plusieurs experts évaluent à dix ans le temps nécessaire pour avoir un dispositif assez homogène.
27– Le comité d’audit : au sein du conseil d’administration son rôle est également de contrôler l’exposition aux risques et la conformité des décisions opérationnelles d’un établissement. Comme on le verra plus loin il est le garant de l’application de la politique des risques décidée par la banque et il doit disposer d’un droit d’alerte vis-à-vis de l’actionnariat.
28Au regard de cette multiplicité d’acteurs internes et externes un double sentiment habite les observateurs. D’une part, la régulation que l’on a présentée comme globalement absente au sein du système bancaire est en réalité très forte et suppose une adaptation des établissements. Il semble difficile de penser que tous les acteurs se trompent en même temps ou manquent de vigilance. D’autre part, on ressent que l’efficacité de ces dispositifs suppose un niveau de coordination suffisant afin de n’oublier aucune dimension de l’activité bancaire. Ce niveau de coordination doit être assuré par une gouvernance efficace du système de contrôle.
2. La gouvernance du système de contrôle interne
29La gouvernance se donne comme objectif principal l’explication de la performance organisationnelle en fonction des systèmes qui encadrent et contraignent les décisions des dirigeants (Charreaux, 1999). Le contrôle est un de ces systèmes et il est particulièrement présent dans les organisations bancaires. Les recherches réalisées dans les établissements montrent une implication croissante et réelle nécessaire des structures de gouvernance non seulement à travers le rôle joué par les comités d’audit mais également le comportement de l’ensemble du conseil d’administration ou encore à travers le mode de management insufflé par la direction générale.
30Le comité d’audit et l’ensemble du conseil d’administration voient aujourd’hui leur rôle évoluer. En premier lieu le COSO « Comitee of Sponsoring Organisations » [5] vient d’ajouter une nouvelle notion « Risk appetite » dans son dispositif. Il s’agit du niveau de risque accepté par l’entreprise dans le but d’accroître sa valeur. Une fois ce niveau fixé et décidé par le conseil d’administration, les dirigeants pourront évaluer les degrés de tolérance au risque aux différents niveaux de l’organisation. Selon les recommandations même du COSO la définition du Risk appetite doit précéder l’élaboration de la stratégie de l’entreprise. Une politique de risque précise doit donc être établie en préalable à toute décision stratégique et être validée par le conseil d’administration. Le comité d’audit n’assure donc pas simplement une mission de vérification de l’application de cette politique de risque. Il est une force de proposition du contenu de cette politique avec l’appui d’un comité des risques, généralement présent au sein des conseils d’administration de banques.
31Comme l’indique le rapport du COSO II, les structures de gouvernance doivent être capables d’assurer une synthèse entre les informations en provenance des acteurs internes comme de celles provenant des acteurs externes avec comme objectif principal une supervision de la gestion des risques sur quelques domaines précis [6] :
- connaître le périmètre de couverture efficace de gestion des risques mis en place par le management de l’organisation;
- connaître et être en accord avec le risk appetite de l’organisation;
- revoir le portefeuille de risques et effectuer un rapprochement avec le risk appetite;
- être informé des risques les plus significatifs et de la pertinence de la prise en charge de ces risques.
32Un ultime sujet sur lequel le conseil d’administration doit assurer une surveillance se situe au niveau des dispositifs de rémunération à destination des dirigeants. La question du système d’incitation est fondamentale dans la recherche de l’efficacité économique mais également de l’efficacité des contrôles. En effet, selon Brickley et al. (2000), les comportements déviants sont exclusivement individuels et de nature non éthique en général. Ils prennent leur source dans l’inexistence des systèmes incitatifs ou dans l’inefficacité de ces systèmes tout autant que dans l’opacité des structures organisationnelles. Les incitations peuvent être contre-productives et inductrices de coûts si elles ne sont pas clairement définies et adaptée à la structure de l’organisation. Pour contrer et anticiper l’occurrence de ces comportements il est donc nécessaire de mettre sur pied des systèmes qui sont de nature à influencer positivement le comportement des décideurs.
33Au niveau des instances exécutives de la gouvernance, la direction générale reste l’inducteur décisif de l’application de la politique risque de l’établissement. Pour cela elle s’appuie sur un dispositif interne et externe visant à sécuriser le fonctionnement de l’entreprise. Son rôle et son influence managériale sont décisive pour créer un environnement favorable qui doit influencer positivement l’ensemble du système (Siguret et al., 2006). Cette idée d’« environnement favorable » suppose la mise en place de structures organisationnelles claires où les responsabilités sont bien définies et les droits de décision sont alloués à ceux en charge d’exercer des missions de contrôle.
34La fonction d’audit interne aide la direction générale et le conseil d’administration avec son comité d’audit, à assumer effectivement et efficacement leurs responsabilités en matière de dispositif de contrôle. Un compte rendu semestriel d’activité et les résultats du contrôle interne sont présentés à l’organe délibérant ainsi qu’un rapport annuel des éléments essentiels et des enseignements principaux des mesures de risques, notamment de répartition des engagements par zones de vulnérabilité. Les audits externes des commissaires aux comptes complètent ce dispositif. Ils collaborent notamment avec l’audit interne pour optimiser la couverture des activités à auditer. Ils sont destinataires du rapport de synthèse décrivant les conditions dans lesquelles le contrôle interne est assuré sur l’ensemble du groupe, et le rapport de synthèse sur la mesure et la surveillance des risques auxquels les établissements de crédits sont exposés.
35Enfin, comme pour le conseil d’administration, la direction générale doit être vigilante sur les dispositifs d’incitation que celle-ci met en place et qui sont généralement fondés, dans les activités de trading notamment, sur la performance financière des acteurs.
36Un tel raisonnement peut s’étendre au dispositif de contrôle. Tant que l’ensemble des collaborateurs ne percevront pas réellement la valeur ajoutée de l’activité de contrôle, tant qu’elle ne sera pas prise en compte plus explicitement dans l’objectif des commerciaux comme des managers, le contrôle sera vécu comme une contrainte supplémentaire dans l’exercice de leur activité. Même si plusieurs banques à réseau nous ont confirmé avoir intégré des objectifs de conformité dans les objectifs généraux des vendeurs, ces derniers reconnaissent souvent qu’ils ne font souvent pas le poids face à des résultats commerciaux. On peut d’ailleurs se demander si la progression continue de ce type d’objectifs est réellement compatible avec un fonctionnement en totale conformité (Lamarque, 2008).
37Il est donc essentiel que le rôle des instances de gouvernance continue de s’accroître et que leur responsabilité continue d’augmenter face aux instances de régulation. Il est nécessaire d’avoir aujourd’hui une vision élargie de la fonction contrôle, bien au-delà du contrôle de gestion, comme partie prenante du dispositif de gouvernance (Bouquin, 2004). Ce modèle est donc susceptible de constituer une référence pour les régulateurs dans le cadre de la définition de leurs attentes en vue d’édicter des règles ou des directives ou lorsqu’ils procèdent à des contrôles.
38Cet article avait pour ambition de plaider en faveur d’un mélange équilibré entre approches quantitative et qualitative de la gestion du risque opérationnel bancaire. Faut-il rappeler qu’un modèle n’est et ne sera jamais rien de plus qu’une « grille de lecture simplifiée face à la complexité, qui aide à prendre des décisions. Il est adapté à un problème spécifique et il faut aussi avoir une grande conscience de ses limites de validité [7] »? C’est lorsque la finance se met à chercher du risque pour trouver du rendement que la gestion des risques prend véritablement tout son sens.
Bibliographie
BIBLIOGRAPHIE
- Basel Committee on Banking Supervision, “Basel II : International Convergence of Capital Measurement and Capital Standards : A Revised Framework – Comprehensive Version”, Basel, June 2006.
- Bouquin H., Le contrôle de gestion : contrôle de gestion, contrôle d’entreprise et gouvernance, 6e édition, PUF, coll. « Gestion », 2004.
- Brickley J.A., Smith C.W. et Zimmerman J.-L., “Business ethics and organisational architecture”, Working paper n°FR 00-14, The Bradley Policy research center, 2000.
- Charreaux G., « La théorie positive de l’agence : lectures et relectures », De nouvelles théories pour gérer l’entreprise du XXIe siècle, G. Koenig éd., Economica, 1999.
- COSO 2, Entreprise Risk Management Framework, wwww. coso. org/ Publications/ ERM/COSO_ERM_ExecutiveSummary_french.pdf
- Feller W., An introduction to Probability Theory and Its Applications, vol. II, second edition, Wiley Series in Probability and Mathematical Statistics, Wiley, 1971.
- Frachot A., Moudoulaud O. et Roncalli T., “Loss Distribution Approach in Practice”, The Basel Handbook : A Guide for Financial Practitioners, M. Ong (eds), Risk Books, 2003.
- Frachot A., Roncalli T. et Salomon E., “Correlation and Diversification Effects in Operational Risk Modelling”, Operational Risk, May 2004.
- Godowski Ch., « La quantification des risques de marché et de crédit : fondement de l’activité bancaire », Management de la banque : Risques, relation client, Lamarque É. éd., organisation, 2e édition, Pearson, 2008.
- Klugman S., Panjer H. et Willmot G., Loss Models : from Data to Decisions, 2nd edition, Wiley, 2004.
- Lamarque E., « Coordonner un système global de contrôle des risques : entre gouvernance et contrôle interne », Management de la banque : Risques, relation client, Lamarque É. éd., organisation, 2e édition, Pearson, 2008.
- Mignola G., et Ugoccioni R., “Tests of Extreme Value Theory Applied to Operational Risk Data”, Operational Risk E. Davis (eds), Risk Books, 2005.
- Olfield G.S. et Santomero A.M., “Risk management in financial institutions”, Sloan Management Review, vol. 39, n° 1,1997, p. 33-46.
- RoncalliT., La gestion des risques financiers, Economica, 2004.
- Siguret J.-L., Fernandez E. et Koessler L., Le contrôle interne bancaire et la fraude, Dunod, 2006.
Mise en ligne 20/03/2009
Notes
-
[1]
En juin 2002, le Risk Management Group (RMG) du comité de Bâle a collecté les données de perte liées au risque opérationnel survenues au cours de l’année 2001 dans le secteur bancaire. Cette compilation des pertes opérationnelles est connue sous l’acronyme LDCE (Operational Risk Loss Data Collection Exercise). Cette étude fut réalisée à partir d’un échantillon de 89 banques de stature internationale. Les données de perte opérationnelle ont ensuite été classées par ligne d’activité (i) et type de risque (j). Les résultats du tableau 1 portent sur un total de 47000 événements de risque opérationnel pour un montant total de pertes subies avoisinant 7800 millions d’euros.
-
[2]
La convolution est une procédure mathématique qui permet de transformer les distributions de fréquence et de sévérité en une troisième distribution (la distribution de la perte agrégée) en superposant les deux premières (voir Feller, 1971, p. 143).
-
[3]
La crise grave qui secoue actuellement la sphère financière mondiale trouve probablement en partie son origine dans une recherche de rentabilité déconnectée du risque encouru.
-
[4]
Réflexion citée dans Les Échos, 16 avril 2008.
-
[5]
Organisme international qui promeut des normes communes de contrôle interne.
-
[6]
Rapport COSO II
-
[7]
Interview de Nicole El Karoui, responsable du master « probabilités et finance » de l’université Paris-VI et professeur à l’École polytechnique, Les Échos, lundi 10 mars 2008.