Risques Opérationnels
De la mise en place du dispositif à son audit
Christian Jimenez/Patrick Merlier/Dan Chelly
Revue Banque Edition
Introduction17
Préambule : définition des risques opérationnels et enjeux19
Chapitre 1 : La réglementation bancaire
23
1. Les travaux de Bâle - les trois piliers
24
2. Identification et appréhension des risques opérationnels
26
3. Les méthodes de calcul d'exigence en fonds propres
27
3.1 Méthode de base (BIA)28
3.2 Méthode standard (SA)28
3.3 Méthodes avancées (Advanced Measurement Approaches - AMA)30
4. Critères de qualification pour les méthodes standard et avancées
31
4.1 Critères généraux32
4.2 Critères qualitatifs et quantitatifs32
4.2.1 Approche standard
32
4.2.2 Approche AMA
33
4.3 Utilisation partielle des méthodes avancées38
5. Dispositif de qualification Bâle II
38
5.1 Dossier formel de demande d'homologation38
5.2 Dossier d'homologation39
5.2.1 Partie 1 du dossier
39
5.2.2 Partie 2 du dossier
40
5.3 Autorisation de la Commission bancaire41
6. Couverture des risques - prise en compte de l'assurance
42
7. Les saines pratiques de gestion et de pilotage des risques opérationnels
43
Chapitre 2 : L'identification des risques
51
1. Définition d'une nomenclature des risques
51
1.1 L'apport du Comité de Bâle51
1.2 Une nécessaire adaptation à l'environnement53
2. L'identification des risques opérationnels
55
2.1 La définition du périmètre à analyser55
2.1.1 Les métiers
55
2.1.2 Les activités et processus
57
2.2 Les événements à risques61
2.2.1 Établissement de la liste des risques génériques
61
2.2.2 Établissement de la liste des risques spécifiques
61
2.2.3 Validation de la nomenclature interne des risques
62
2.2.4 Validation de la cohérence avec Bâle II
62
2.3 La cartographie des risques63
3. Les différentes catégories de risques
69
3.1 Les catégories de Bâle II69
3.2 Focus sur des risques particuliers73
3.2.1 Le risque d'image
73
3.2.2 Les risques opérationnels liés aux projets
77
3.2.3 Les risques humains
79
3.2.4 La sécurité des biens et des personnes
80
3.2.5 Les risques technologiques
81
3.2.6 Les risques juridiques
83
3.2.7 Les risques organisationnels
85
3.2.8 Le risque réglementaire
86
3.2.9 Le risque de non-conformité
87
3.2.10 Les risques stratégiques
88
3.2.11 Les risques systémiques
89
Chapitre 3 : Le dispositif de suivi des risques
91
1. L'organisation du dispositif
91
1.1 Les éléments du dispositif91
1.2 Les principes d'organisation93
1.2.1 Le rôle de la Direction générale
93
1.2.2 Le rôle de l'organe délibérant ou son émanation le Comité d'audit
94
1.2.3 Le rôle de la Direction des risques
94
1.2.4 Le rôle des lignes métier /établissements
95
1.2.5 Le rôle des métiers transverses
97
1.2.5.1 La sécurité de l'information
97
1.2.5.2 Les Ressources Humaines
98
1.2.5.3 La logistique
99
1.2.5.4 Les services juridiques
100
1.2.6 Le rôle de la Direction de l'audit interne
100
1.2.7 Le rôle de la Direction de la conformité et des contrôles permanents
101
2. Utilisation et actualisation des cartographies
103
3. La base d'incidents
104
3.1 La mise en oeuvre d'une base d'incidents104
3.2 Le suivi et le traitement des informations105
4. Les indicateurs de risques
110
5. Le tableau de bord «risques opérationnels»
111
6. Évaluation du dispositif
111
Chapitre 4 : Politique de gestion des risques opérationnels
113
1. Le dispositif de maîtrise des risques opérationnels : les acteurs
et organes de pilotage du dispositif
114
1.1 La Direction générale des établissements/métiers114
1.2 Le Comité des Risques Opérationnels114
1.3 Le Responsable risques opérationnels115
1.4 Les correspondants risques opérationnels (incluant les responsables métiers,
de départements, d'unités...)115
2. Présentation et règles de fonctionnement des composantes du dispositif
de gestion des risques opérationnels
116
2.1 La cartographie des risques116
2.2 La collecte des incidents et le suivi des KRI117
2.2.1 Les incidents
117
2.2.2 Les indicateurs de risques
119
2.2.3 Le Questionnaire de la Commission Bancaire («QCB»)
119
2.2.4 Le tableau de bord «risques opérationnels»
120
2.3 Liens et lignes de reportings entre l'établissement et ses actionnaires120
3. Mise en place d'un outil d'aide à la décision
121
3.1 Analyse des causes124
3.1.1 Problèmes d'origine humaine (interne)
124
3.1.2 Problèmes liés aux systèmes d'information
124
3.1.3 Problèmes d'origine exogène
124
Chapitre 5 : Les méthodes de management des risques opérationnels
127
1. La définition des niveaux de risques acceptés et la définition de limites
128
2. La couverture interne des risques
129
2.1 La continuité des activités130
2.1.1 Étude des risques et besoins en matière de continuité
131
2.1.2 Dispositif de prévention et solutions envisageables en cas de sinistre
132
2.1.3 Mise en place du dispositif de continuité
134
2.1.4 Plan de crise
134
2.1.5 Plans de reprise d'activité
137
2.1.6 Plan de retour à la normale
138
2.1.7 Maintien en condition opérationnelle
138
2.2 La délégation de pouvoir140
2.3 Les chartes d'éthique141
2.4 La couverture budgétaire des sinistres142
2.4.1 La rétention
142
2.4.2 Le provisionnement
143
2.4.3 Le recours à l'emprunt
143
3. La couverture externe des risques
143
3.1 Les contrats d'assurance144
3.1.1 L'assurance traditionnelle
144
3.1.2 Les captives
148
3.1.3 Assurance à prime ajustable
148
3.1.4 Contrats pluriannuels avec participation au bénéfice
149
3.1.5 Le prix de l'assurance
150
3.1.6 Les évolutions attendues
151
3.2 L'externalisation d'activité152
3.2.1 Les risques associés à une externalisation
152
3.2.2 Le dispositif de maîtrise des risques
153
3.3 Les techniques transférant le risque sur un marché de type marché financier156
3.3.1 Émission obligataire
156
3.3.2 Transfert de risques à l'aide de produits dérivés
159
4. La notion de «use test», outil de contrôle de la qualité et de
la pertinence de la gestion
160
4.1 Le but et l'usage du système de gestion des risques opérationnels ne sont
pas réduits à la détermination du besoin de fonds propres réglementaires160
4.2 Le système de gestion des risques opérationnels doit régulièrement évoluer
en parallèle de l'amélioration des techniques et des solutions globales
de gestion des risques160
4.3 Le système de gestion des risques opérationnels doit permettre à la fois
la mesure et le contrôle des risques au sein de l'entreprise161
4.4 L'usage du système de gestion des risques opérationnels doit pouvoir
montrer des résultats tangibles161
4.5 Les établissements doivent pouvoir montrer la conformité de
leur dispositif aux critères requis par les «use tests»161
Chapitre 6 : Les modèles quantitatifs
163
1. Pourquoi quantifier les risques ?
163
2. Les données disponibles
164
2.1 Données historiques versus données prospectives164
2.2 Les historiques d'incidents internes et externes164
2.2.1 Données internes
164
2.2.1.1 Taille des historiques
164
2.2.1.2 Seuils de déclaration
165
2.2.2 Données externes
165
2.3 Les dires d'experts (cartographies et scénarios)167
2.3.1 Approche risques moyens/«pire des cas»
167
2.3.2 Approche par histogramme simplifié
168
2.3.3 Approche causale en scénario
168
3. Principes et concepts de modélisation
170
3.1 Calibration d'une loi de distribution statistique170
3.2 Simulation de Monte Carlo et Loss Distribution Approach (LDA)171
3.3 Plusieurs approches possibles de construction des modèles AMA173
4. Questions spécifiques relatives à l'approche en méthodes avancées AMA
(incidents liés, agrégation, allocation...)
174
4.1 Incidents liés : «multiple-time», «multiple-effect»174
4.2 Lien avec d'autres risques175
4.2.1 Risque de crédit
176
4.2.2 Risque de marché
176
4.2.3 Risque de non-conformité
177
4.3 Corrélation et diversification178
4.3.1 Les corrélations
178
4.3.2 Les effets de diversification
180
4.4 Les pertes attendues180
4.5 La prise en compte des assurances181
4.5.1 Le contexte
181
4.5.2 L'éligibilité du programme d'assurances
183
4.6 L'allocation du capital185
4.7 Vers une tarification des Risques Opérationnels187
5. La validation des modèles
187
Chapitre 7 : Les reportings risques opérationnels
191
1. Les reportings internes
192
1.1. Les alertes au fil de l'eau192
1.2. Les reportings à destination des opérationnels192
1.3. Le tableau de bord Risques Opérationnels : pour le Comité Risques Opérationnels196
2. Les reportings externes
197
2.1. Les états COREP198
2.2. L'article 43 du règlement 97-02 sur la surveillance des risques199
2.3. Le pilier III et la discipline de marché202
Chapitre 8 : L'audit du dispositif
203
1. Les objectifs du régulateur
203
2. Conseils pour faciliter l'audit interne du dispositif
204
Bibliographie
205
Annexe 1 : Traitement du risque opérationnel
209
1. Classification des types de perte
209
2. Lignes d'activité
210
Annexe 2 : Charte de fonctionnement du
Comité des risques opérationnels
213
1. Objet de la charte
214
2. Le rôle et les missions du Comité
215
3. Le fonctionnement du Comité
218
Annexe 3 : Gérer un exercice de cartographie :
la gestion du projet
223
1. Gérer un exercice de cartographie : exemple de la gestion du projet 2008
224
Annexe 4 : La cartographie des risques opérationnels
et leur méthodologie d'évaluation dans un grand
groupe bancaire
231
1. Rappel des définitions
232
2. Les évolutions de la méthode d'évaluation
237
Annexe 5 : Exemple de plan du dossier d'homologation
à présenter à la commission bancaire
249
Annexe 6 : Rapport sur la mesure et la surveillance des risques
255
Annexe 7 : Synthèse de l'enquête annuelle 2007 Prmia - Audisoft
L'état d'avancement de la place financière
en matière de gestion des risques opérationnels
259