Définition et enjeux La cartographie des risques Recensement des données de pertes Mesure du risque opérationnel Approches statistiques Approches par scénarios Scorecards Contrôle des risques opérationnels Le risque opérationnel dans Bâle 2 Lignes métier Typologie des risques opérationnels Les systèmes d'information Pour aller plus loin

Cette page est soutenue par AMD Conseil, cabinet de conseil spécialisé dans les nouvelles technologies en environnements bancaires et financiers.

 

Définition et enjeux

Le comité de Bâle définit le risque opérationnel comme le "risque de pertes provenant de processus internes inadéquats ou défaillants, de personnes et systèmes ou d'événements externes".

Cette définition recouvre les erreurs humaines, les fraudes et malveillances, les défaillances des systèmes d'information, les problèmes liés à la gestion du personnel, les litiges commerciaux, les accidents, incendies, inondations, … Autant dire que son champ d'application semble tellement large qu'on n'en perçoit pas d'emblée l'application pratique.

De plus, la notion de risque opérationnel apparaît de prime abord comme peu novatrice, dans la mesure où les banques n'ont pas attendu le comité de Bâle pour organiser leurs activités sous forme de procédures, et pour se doter de départements d'audit interne chargés de vérifier la bonne application de ces procédures. Toutefois, des défaillances spectaculaires, comme celle de la Barings , ont attiré l'attention des autorités de tutelle sur la nécessité de doter les banques de mécanisme de prévention et de couverture (via la constitution de fonds propres dédiés) contre les risques opérationnels.

La mise en pratique prônée par le nombre croissant de réflexions consacrées à ce sujet consiste à considérer comme réalisation d'un risque opérationnel

•  tout événement qui perturbe le déroulement normal des processus métier

•  et qui génère des pertes financières ou une dégradation de l'image de la banque (bien que cette dernière conséquence ait été explicitement exclue de la définition du comité de Bâle, elle n'en reste pas moins au centre des préoccupations).

Une gestion proactive du risque opérationnel, outre qu'elle permette de se conformer aux exigences du comité de Bâle, aboutit nécessairement à une amélioration des conditions de production : rationalisation des processus d'où gain de productivité, amélioration de la qualité d'où meilleure image de marque… En particulier une telle démarche permet de mettre en place des outils quantitatifs permettant de fixer aux équipes opérationnelles des objectifs mesurables en terme de réduction des risques opérationnels.

D'autre part la complexité et la technicité croissante des opérations, l'augmentation des volumes et le développement du temps réel réduisent de plus en plus le « droit à l'erreur », quand le coût de l'erreur peut rapidement se chiffrer en centaines de milliers voire en millions d'Euros. Le contexte est favorable à une prise de conscience car les risques opérationnels deviennent, comme le risque de crédit et le risque de marché, une composante intrinsèque du métier bancaire.

La mise en place d'une méthode de suivi des risques opérationnels se heurte pourtant à de nombreux obstacles d'ordre psychologique ou organisationnel en interne :

• Les équipes sont en ce moment mobilisées sur d'autres projets de place : normes IAS, partie « risque de crédit » de Bâle 2
• Le sujet présente un aspect diffus et non quantifié qui le rend difficile à appréhender
• Plusieurs services ont déjà dans leur périmètre des activités voisines : secrétariats généraux, services juridiques, … et ne voient pas d'un bon œil des projets qui entameraient plus ou moins leurs prérogatives.
• Les tâches de reporting et de suivi représentent une charge supplémentaire pour les opérationnels
• Enfin la direction elle-même peut avoir tendance à minimiser l'impact des risques opérationnels, car il y a toujours dans le risque opérationnel un côté « défaillance humaine », ce qui peut impliquer l'engagement des responsabilités des cadres dirigeants, tous aspects que l'on préfère occulter.

Cependant le sujet fait son chemin et le corpus méthodologique se développe et se structure progressivement.

La cartographie des risques

La première étape de la démarche de suivi du risque opérationnel consiste à établir une cartographie des risques. Cette cartographie s'appuie sur une analyse des processus métier, à laquelle on croise la typologie des risques opérationnels.

Un processus métier désigne un ensemble de tâches coordonnées en vue de fournir un produit ou un service à la clientèle. La définition des processus métier répond en premier lieu à un découpage économique de l'activité de la banque, et non un découpage organisationnel.

L'identification des processus métier part ainsi des différents produits et services et identifie les acteurs (qui peuvent appartenir à des entités différentes au sein de l'organisation) et les tâches impliquées dans la fourniture de ces produits.

A chaque étape du processus on associe ensuite les incidents susceptibles d'en perturber le déroulement et d'entraîner la non réalisation des objectifs du processus (en terme de résultat concret, ou en terme de délais). Pour chaque événement le risque est évalué en terme de

•  Probabilité d'occurrence

•  Perte encourue en cas de réalisation.

Chaque événement à risque doit être rattaché à une catégorie de risques rendant ensuite l'analyse des données plus facile et rapide, et sur le plan organisationnel à la ligne métier où l'incident a eu lieu. Le comité de Bâle a d'ailleurs défini des listes de rubriques standard applicables dans ces domaines (cf. plus bas).

La classification des risques reflète la vision dont le management souhaite disposer au plus haut niveau, doit permettre d'établir des synthèses transverses à toutes les activités, et à ce titre doit être établie par un département central de suivi des risques.

Par contre pour être réaliste et utile, l'analyse des processus métier et des risques encourus doit être confiée aux opérationnels concernés. Ceux-ci s'appuieront sur un cadre de travail rigoureux et identique pour tous, mais qui leur permette de décrire leurs activités.

Enfin la cartographie ne saurait être complète si elle ne s'accompagnait de l'identification des facteurs de risque  (key risk indicators): ce sont les éléments quantitatifs susceptibles d'augmenter la probabilité de réalisation d'un risque : nombre d'opérations traitées, taux d'absentéisme, etc. Cette notion constitue le fondement de la méthode dite des "scorecard", cf. plus bas.

Recensement des données de pertes

L'identification a priori des risques aboutit à une cartographie « théorique » des activités, mais seule l'expérience permet de valider cette description d'abord, d'identifier les zones d'activité sensibles pour y mettre en place les contrôles adéquats ensuite. On passe alors à la collecte des incidents constatés dans une base historique, permettant d'évaluer les pertes réellement subies suite aux risques opérationnels (loss data).

La collecte s'effectue généralement sous forme déclarative. Les opérationnels remplissent des fiches standardisées qui sont ensuite saisies dans une base de données, ou saisissent directement dans l'outil. On peut également prévoir, en particulier pour les incidents de type panne informatique, une collecte automatique ou semi-automatique (« rapport de panne » produit automatiquement puis complété manuellement des montants de pertes encourues).

De telles bases, alimentées sur plusieurs années consécutives, deviennent une source précieuse d'information pour le management des risques opérationnels. Ces données permettent de dégager une vision objective, chiffrée, des risques encourus, à condition bien sûr d'avoir été constituées d'une manière fiable et réaliste.

La collecte des événements de perte s'appuie sur la cartographie précédemment établie pour le recensement et le référencement des incidents. Elle permet par ailleurs, par un effet rétroactif, de peaufiner cette cartographie.

Il existe également des bases similaires mais provenant de sources externes. Ces données complètent avantageusement les données collectées en interne. En effet les bases historiques ne recensent par définition que les incidents qui se sont déjà produits dans l'établissement. Pour obtenir une mesure plus réaliste on y ajoute donc un échantillonnage plus large obtenu en compilant les données d'autres établissements. Ces données nécessitent toutefois un effort d'interprétation et d'adaptation à la situation propre de l'établissement.

L'analyse statistique des données de pertes ainsi recensées permet d'obtenir un graphe des événements de pertes où s'échelonnent, d'une extrémité à l'autre, les événements fréquents mais ayant un impact financier faible, jusqu'aux événements rarissimes mais aux conséquences catastrophiques. Cette distribution des risques peut ensuite faire l'objet de toutes sortes de calculs sophistiqués (cf. ci-dessous).

Mesure du risque opérationnel

La nécessité de mesurer le risque opérationnel provient des préconisations du comité de Bâle, qui requièrent des banques d'allouer une quantité de capital adéquate pour couvrir leur risque opérationnel.

Théoriquement, cette somme de capital devrait correspondre à la perte maximale encourue du fait des risques opérationnels par l'établissement avec une probabilité élevée (99%) sur un horizon de temps donné (par exemple un an). Il s'agit donc à la base d'une "Value at Risk" (VAR). Reste à savoir comment calculer cette VAR.

Nous nous concentrons ici sur les méthodes de mesure "autonomes", celles qui ne sont pas issues d'une décision du régulateur, ou plus précisément qui entrent dans la catégorie des "méthodes avancées" du comité de Bâle.

Globalement les méthodes d'évaluation se rattachent à 3 grandes familles, qui ne sont pas nécessairement mutuellement exclusives comme on va le voir plus bas: les méthodes statistiques, les approches par scénarios et les approches par "scorecards".

Approches statistiques

L'exemple le plus représentatif des méthodes statistiques est l'approche par la « Distribution des pertes » ou « Loss Distribution Approach » (LDA). Elle s'appuie sur une base de données des événements de pertes collectés au sein de l'établissement, enrichi de données provenant de sources externes.

La démarche consiste d'abord à établir, pour chaque ligne métier et chaque type d'événement de pertes, 2 courbes de distribution des probabilités de pertes, l'une représentant la fréquence des événements de pertes sur un intervalle de temps donné, (loss frequency distribution), l'autre la sévérité de ces mêmes événements (loss severity distribution). Pour ce faire on trie les événements de pertes par fréquence d'une part, et par coût d'autre part, et l'on représente le résultat sous forme graphique (histogrammes).

Pour chacune des distributions obtenues, on recherche ensuite le modèle mathématique qui rend le mieux compte de la forme de la courbe. Pour valider le choix d'un modèle mathématique, on met en relation le résultat (fréquence ou perte) prédit par le modèle mathématique et le résultat de la courbe issue des données réelles : si les 2 courbes se superposent, le modèle est réputé fiable.

On combine alors les 2 distributions, en utilisant une simulation de Monte-Carlo afin d'obtenir, pour chaque ligne métier et chaque type d'événement, une courbe agrégée de distribution des pertes pour un horizon de temps donné. Pour chacune, la Value At Risk (VAR) est la perte maximale encourue avec une probabilité de 99,9%.

Le capital requis dans le cadre de bâle II est alors la somme des VAR ainsi calculées.

Approches par scénarios

 

L'approche par scénarios consiste à mener des enquêtes systématiques auprès d'experts de chaque ligne métier et de spécialistes de la gestion des risques. Le but est d'obtenir de ces experts une évaluation de la probabilité et du coût d'incidents opérationnels identifiés conformément aux grilles d'analyse proposées par le comité de Bâle.

La construction des scénarios combine l'ensemble des facteurs de risques (key risk indicators) d'une cativité donnée. On effectue ensuite des simulations en faisant varier les facteurs de risque.

Cette approche constitue un complément intéressant quand les données historiques ne sont pas suffisantes pour appliquer une méthode purement statistique. Elle trouve en particulier son application pour évaluer les impacts d'événements de risque de sévère amplitude, ou l'impact de la survenance simultanée de plusieurs événements. En effet la méthode statistique décrite plus haut présente l'inconvénient de considérer les incidents opérationnels comme complètement décorrélés, et ne prend pas en compte leurs effets éventuellement cumulatifs.

Contrairement à ce que pourrait indiquer son intitulé, l'approche par scénarios n'a pas qu'un aspect purement "qualitatif". Elle se prête également à la modélisation mathématique et le corpus théorique sur le sujet est abondant. (voir http://www.gloriamundi.org) .

Scorecards

Les méthodes statistiques ont ceci de biaisé, voire dangereux, qu'elles prétendent fonder des calculs parfois extrêmement sophistiqués sur des données d'échantillonnage rares, dispersées, et soumises à nombre d'appréciations subjectives. On est loin de l'objectivité des calculs effectués dans le cadre du risque de marché et même du risque de crédit, où les données de base sont beaucoup moins contestables. La sophistication des calculs donne une apparence de sérieux qui ne résiste peut-être pas toujours à l'examen des données sur lesquelles ils s'appuient!

De plus ces méthodes, fondées exclusivement sur des données historiques, ne permettent pas d'anticiper les changements dans le profil de risque de l'établissement dus aux évolutions internes (nouvelles organisations, nouvelles activités) et externes (évolutions des marchés, de la concurrence, apparition de nouvelles méthodes de fraude). Elles fondent les estimations sur les événements qui se sont déjà produits, pas sur ceux qui pourraient réellement se produire, et parmis lesquels se trouvent les plus redoutés, ceux qui se produisent rarement mais avec des conséquences lourdes.

La méthode des scorecards offre de ce point de vue une alternative intéressante, puisqu'elle s'appuie non pas sur des données de pertes effectivement constatées, mais sur des indicateurs de risque , qui incorporent donc une vision "a priori" des risques opérationnels.

Cette méthode consiste à produire pour chaque catégorie de risques, une grille d'appréciation regroupant des indicateurs quantitatifs: taux de turnover, nombre d'opérations, … et qualitatifs: appréciation de la vitesse de changement d'une activité, par exemple. Ces questionnaires sont établis par des équipes d'experts regroupant des spécialistes du risque et des opérationnels de chaque ligne métier. Ils englobent à la fois les critères qui gouvernent la probabilité et l'impact potentiel d'un risque.

Une fois ces questionnaires établis, on effectue une première évaluation a priori, et c'est l'aspect surprenant de la méthode, du capital requis pour le risque opérationnel au niveau de l'établissement. Pour cette évaluation, force est d'utiliser une méthode statistique! Cette première évaluation doit être en principe légèrement surévaluée, car par la suite on n'utilisera plus que les scorecards pour faire évoluer le montant global de capital alloué.

Le montant de capital est ensuite distribué à chaque catégorie de risques en évaluant, pour chaque ligne métier, l'importance relative de chaque catégorie de risques.

Enfin les questionnaires sont distribués aux lignes métier et remplis par elles. Comme il y a 13 catégories de risques au sens de Bâle 2, que les questionnaires comprennent au moins 20 questions, et qu'il peut y avoir dans les grands établissements plusieurs dizaines d'unités concernées, cela produit une quantité considérable de données à dépouiller.

Le résultat de ce dépouillement permet d'établir un "score" de chaque ligne métier pour chaque catégorie de risque opérationnel, et de lui allouer ainsi la proportion de capital réglementaire qui lui revient.

La répétition de ce processus permet de faire évoluer au fil du temps la quantité de capital allouée à chaque ligne métier. Comme cette évaluation se fait indépendamment des autres lignes métier, il ne s'agit pas d'un jeu à somme nulle: le montant global de capital réglementaire peut diminuer ou augmenter en fonction des scores obtenus.

La méthode des scorecards permet d'obtenir un tableau détaillé du profil de risques de l'établissement. Elle permet également d'impliquer les opérationnels dans le suivi des risques , et constitue de ce fait également une forte incitation à la réduction de ces mêmes risques.

Contrôle des risques opérationnels

La maîtrise et si possible la réduction des risques opérationnels nous ramènent à la cartographie des risques. Il s'agit d'abord de déterminer un niveau de risque acceptable, puis d'identifier les mesures nécessaires pour ramener le risque « inhérent » (risque existant avant l'application des mesures préventives) à ce niveau.

La mise en œuvre des mesures de contrôle et plans d'action résultent ensuite d'un compromis entre leur coût d'application et le niveau de risque obtenu.

Le cadre de la gestion des risques doit évoluer en même temps qu'évolue l'activité de l'établissement : chaque démarche projet (projet « métier » ou projet informatique) devrait donc comprendre un volet risque visant à

• Revoir les processus métier au regard du projet : création de nouveaux processus, disparition ou adaptation des processus existants
• Identifier les risques encourus
• Préciser les mesures de contrôles qui seront prises afin de réduire les risques.

Une véritable démarche de suivi du risque opérationnel s'inscrit donc dans un processus récursif.

Les risques opérationnels dans Bâle 2

Une des principales innovations de l'accord Bâle II par rapport à Bâle I a été non seulement d'exiger l'allocation de fonds propres à la couverture contre les risques opérationnels mais aussi de prôner un dispositif de gestion des risques opérationnels.

Le dispositif de calcul des fonds propres prévu par Bâle 2 propose aux banques 3 méthodes de calcul de complexité croissante. La méthode choisie doit être uniforme dans un groupe bancaire.

• L'indicateur de base consiste en l'application d'un ratio forfaitaire (15%) au Produit Net Bancaire des 3 derniers exercices.

• L'approche standard permet d'appliquer un coefficient différent selon les lignes métier. L'éligibilité à cette méthode impose de disposer de données chiffrées des pertes supportées par chaque ligne métier du fait des risques opérationnels.
• Enfin l'approche avancée  permet à l'établissement de construire sa propre méthode interne d'évaluation des risques opérationnels. La méthode choisie ainsi que les conditions d'application (présence d'une structure centralisée de contrôle des risques, fréquence et pertinence des reportings, …) sont alors soumises à l'approbation préalable du régulateur. L'éligibilité à cette méthode impose de disposer des données suivantes :
• Données de pertes internes (propres à l'établissement)
• Données de pertes externes (bases de données transverses sur l'ensemble de la profession)
• Analyses de scénarios d'événements potentiels
• Analyses des facteurs d'environnement et de contrôle interne

Le choix d'une méthode avancée nécessite un investissement plus conséquent au départ, mais permet aussi de réduire les exigences en fonds propres.

Par ailleurs les travaux du comité de Bâle se sont attachés de définir une typologie standardisée des lignes Métier et des risques opérationnels.

Lignes Métier

Typologie des risques opérationnels

Les systèmes d'information et le risque opérationnel

Les systèmes d'information occupent une place prépondérante dans les marchés aujourd'hui, et se trouvent de ce fait au cœur des préoccupations quand on met en œuvre une démarche de maîtrise des risques opérationnels. Tout projet informatique devrait donc inclure un volet risques opérationnels.

Par ailleurs on note le développement des Systèmes d' Information dédiés à la gestion des risques opérationnels. Les outils de suivi du risque opérationnel proposés intègrent soit la démarche qualitative : cartographie des risques, soit la démarche quantitative : bases de données des incidents et exploitation statistique des historiques, soit préférentiellement les deux. Ils incluent généralement les fonctions suivantes :

• Modélisation de l'organisation
• Modélisation des processus métier
• Collecte et stockage des incidents
• Exploitation statistique des données historiques
• Mesure du risque
• Calcul du capital réglementaire
• Reporting

Pour aller plus loin

• Compulser les dossiers de la BRI et du comité de Bâle, sur http://www.bis.org . Les publications consacrées au risque opérationnel se trouvent à l'adresse: http://www.bis.org/bcbs/publ_10.htm
• Consulter les dossiers de RiskPartner http://www.riskpartner.lu/index_fr.html
• Lire l'article sur l'implantation des scorecards chez ANZ sur http://www.financewise.com , http://www.financewise.com/public/edit/riskm/oprisk/opr-contents00.htm , ainsi que d'autres articles d'un dossier spécial consacré au risque opérationnel.
• Télécharger de nombreux articles sur le risque opérationnel et les risques en général sur http://www.gloriamundi.org .
• Voir la page sur le risque opérationnel de http://www.riskglossary.com : http://www.riskglossary.com/link/operational_risk.htm
• Lire les recommendations de ORX (the Operational Risk data eXchange association) sur la constitution de bases de données d'incidents: http://www.orx.org/fpdb/ORX-Reporting-Standards-v15.pdf
• Un article (en anglais) rédigé par un étudiant de l'univeristé de Vrije (Pays-Bas), qui fournit une presentation claire de la LDA (Loss Distribution Approach): http://www.few.vu.nl/stagebureau/werkstuk/werkstukken/werkstukken-nl.html  

Cette page est soutenue par AMD Conseil cabinet de conseil spécialisé dans les nouvelles technologies en environnements bancaires et financiers.

© 2005-2008 FiMarkets

Site déposé sur Copyrightdepot.com #00038438