Do not follow this hidden link or you will be blocked from this website !

Les Ateliers Risques Opérationnels - Atelier N°2 : Optimisation de la gestion des risques opérationnels

mercredi 18 mars 2015
Le cadre général de la gestion du risque opérationnel est rappelé en préambule par Norbert Hensgen, Manager secteur Banque Finance Assurance de gfi. Toute entreprise, vue comme un enchaînement de processus à finalité économique, se trouve exposée à divers types de risques, diffus et difficiles à isoler et estimer, liés à des défaillances humaines ou techniques, ou à une perturbation extérieure ou une modification de son environnement.
 
Au même titre que la fiabilisation des processus visée par la démarche Qualité, l’analyse et la gestion des risques opérationnels s’inscrivent dans une démarche d’entreprise impulsée par le top management et dont les services opérationnels sont appelés à être les moteurs. Au-delà des exigences de couverture financière liée à la gestion des risques opérationnels, la conjonction de ces approches permet de créer les bases d’une gestion opérationnelle dynamique dont le but est de contribuer directement à l’amélioration de la valeur ajoutée de l’entreprise. Mesurée notamment en termes de satisfaction clients, elle devient ultimement un facteur de performance.
 
Complexes par nature, les activités de banque ou d’assurance nécessitent tout particulièrement pour la gestion des risques opérationnels une approche globale d’entreprise, qualitative comme quantitative. Touchant tant aux personnes (fraude, compétences, …), aux processus (conformité des opérations, sous-traitance, …), aux systèmes (obsolescence, capacité, sécurité) qu’à des évènements extérieurs (réglementation, risques politiques, catastrophes, …), les risques opérationnels sont en effet inhérents à tous les produits, activités, processus et systèmes d’un établissement financier.
 
La définition bâloise du risque opérationnel se focalise sur le risque de perte, issu des 7 catégories d’évènements (procédures, personnes, systèmes ou évènements extérieurs, …) pouvant survenir dans les 8 grandes lignes de métiers identifiées. Les risques de réputation ou de stratégie, moins directement quantifiables, ne font pas partie de cette définition. Le pilotage du risque opérationnel, qui représente de l’ordre de 10 % des risques pondérés d’un groupe bancaire, se base classiquement sur une approche itérative d’identification (au travers de cartographies et de dispositifs de collecte d’incidents), d’évaluation (mise en évidence du coût des risques opérationnels, par des méthodes en approche de base, standard ou avancée, et de l’exposition aux risques importants), de suivi (au travers d’indicateurs de risques et de performance des processus), d’actions de maîtrise ou d’atténuation (plan de secours, externalisation, assurance, …) et enfin de réparation des incidents (en incluant leçons à tirer).
 
La gestion du risque opérationnel est exposée à des défis particuliers, parmi lesquels une appréhension plus complexe que celle des risques de crédit ou de marché (des risques plus diffus, moins de données et une distribution statistique moins « normale »), un équilibre à trouver entre granularité et pertinence, et la mise au point d’un dispositif souple et évolutif.
 
Le superviseur est de son côté très attentif aux faiblesses pouvant être issues de la complexité des groupes, d’une surveillance imparfaite du périmètre d’activité (entités étrangères, lignes de métier périphériques), du développement de nouveaux risques liés notamment aux évolutions technologiques, de l’intensité accrue des évènements de risque (sanctions, …) et d’une inadéquation de moyens affectés au contrôle interne. Une attention centrale doit en outre être portée à la qualité des données, qui doivent être pertinentes, produites par des processus maîtrisés, traçables et documentées, agrégeables et sincères, et qui constituent le socle d’une gestion dynamique des risques, indispensable à une vraie culture de performance.
 
 
La démarche d’Exane, présentée par Yves Marquer, Responsable de la Coordination du Contrôle Permanent, illustre bien l’ambition, les difficultés et la pertinence d’un projet global de mise en place d’un dispositif complet de gestion des risques opérationnels. Le contexte, assez complexe, est ici celui de 3 lignes de métiers employant 900 collaborateurs (courtage d’actions, dérivés et gestion d’actifs) dans des desks spécialisés et d’un réseau international nécessitant la prise en compte de pratiques locales ; en revanche, une pyramide hiérarchique assez plate permet la remontée et l’appropriation au niveau Direction générale de données détaillées proches des métiers.
 
Exane a retenu un dispositif de contrôle de forte granularité (env. 100 cartographies de risques, près de 600 points de contrôle clés), qui est lié à la nature de ses activités mais recèle probablement une marge de simplification. L’implication de la direction générale et des métiers est un élément clé du dispositif de contrôle permanent puisque c’est le management des métiers et fonctions qui remonte les résultats des contrôles, et permet une bonne diffusion de la culture de risque. Le dispositif intègre le risque de réputation, quantifié en pourcentage du chiffre d’affaires risquant d’être perdu et incontournable dans un établissement pratiquant des activités telles que courtage d’actions ou recherche. Un nouveau système eFront va devenir le support du contrôle permanent. Cet outil sera déployé sur une période de 18 mois
 
 
eFront a travaillé avec divers partenaires du monde académique et financier dans le cadre du pôle de compétitivité Finance Innovation au projet C2R (Control for Risk Resiliency) de standard de contrôle interne des risques opérationnels pour les établissements financiers, au travers de la définition d’une nomenclature de points de contrôle standardisés, permettant d’établir et de mesurer l’efficacité des dispositifs de contrôle. 
 
Olivier Javary, Alliance Manager, présente l’outil FrontERM for Banking, qui constitue pour les établissements financiers l’ossature d’un dispositif (en mode SAAS, ASP ou On premise) de pilotage et reporting des risques opérationnels au travers de modules de contrôle 1er et 2e  niveau, cartographie des risques, indicateurs de risques et base d’incidents et pertes. 
 
 
Le débat sur la gestion des risques opérationnels fait ressortir les principaux éléments suivants : 
  • il est impératif pour les dirigeants d’un établissement financier de concilier vision de synthèse et compréhension de fond, l’agglomération des données sur les risques et les incidents ne devant pas créer une déconnexion de la réalité des opérations financières de terrain
  • un dispositif de gestion des risques opérationnels doit clairement être géré de façon dynamique : historisation des incidents bien sûr, mais aussi revue périodique des ruptures et des tendances (à rythme par exemple mensuel) et de la cotation des risques (annuellement), revue régulière des seuils et de la pertinence des contrôles, recalibration des impacts en capital, prise en compte des modifications de périmètre métiers ou géographique, …
  • il est cependant clair que l’historisation perd une part de pertinence avec le temps ; au-delà de 5 ans, l’évolution de certains métiers est telle que les données passées ne sont que peu signifiantes 
  • certains risques résistent davantage que d’autres à la quantification et la modélisation ; c’est le cas notamment du risque de conformité (difficulté de calibrage de l’occurrence et de la portée de sanctions ou d’atteintes à la réputation), qui intègre pourtant une forte dimension de risque opérationnel
  • le dispositif de contrôle vise à réduire occurrence et impact des risques opérationnels, mais vise également à aboutir à une économie en capital économique ; cette économie doit par ailleurs elle-même être intégrée dans le ROI des projets d’outils de contrôle
  • il faut relever la nette amélioration des dispositifs et outils destinés à la gestion des risques opérationnels, comme d’ailleurs de tous les outils de gestion de risque, rendant les établissements financiers clairement moins vulnérables à des chocs internes comme externes ; les concepteurs d’outils paraissent ainsi relever le défi de la course entre complexité croissante des activités et sophistication des outils
  • pour autant, il convient de ne pas de tomber dans une forme d’illusion scientifique sur une gestion complète et mécaniste des risques opérationnels, pour lesquels l’humain et l’imprévu conservent une large part
  • en toute hypothèse, la gestion du risque opérationnel impose de développer une culture positive de l’incident, qui doit être révélé (et non simplement corrigé) et analysé immédiatement, pour en tirer les enseignements pertinents.