Le risque opérationnel

bancaire

Réalisé par : Demandé par :

AIT BENI IFIT Akram Mr. KANDIL

Année universitaire : 2021-2022

 Introduction
Au-delà de la vision financière traditionnelle évoquant les risques de marché ou
le risque de crédit comme facteur de défaillance principal des banques. Des
événements ont été observés sont venus rappeler qu’une autre source de pertes
financières significatives pouvait provenir du fonctionnement opérationnel :
fraudes, détournements, condamnations, dysfonctionnements. Avec la réforme
de Bâle II, cette catégorie de risques doit maintenant être prise en compte dans
l’évaluation des fonds propres des établissements financiers. Leur évaluation
quantitative est donc la première démarche qui ait été entreprise. Le risque
opérationnel touche toutes les activités et les opérations des institutions
financières de différentes manières. En effet, nous trouvons des événements
opérationnels attribuables aux personnes, aux processus, aux systèmes et aux
événements externes. En revanche, les unités ne sont pas touchées de la même
façon par le risque opérationnel. L’impact varie selon la nature des activités et
les différents intervenants. Le risque opérationnel prend donc de plus en plus
d’envergure et sa gestion devient une nécessité. Conscientes de ce grand risque,
les autorités réglementaires ont lancé le débat sur la définition, l’identification,
la mesure et la gestion du risque opérationnel à partir de juin 1999. Elles
introduisent ainsi de la pression sur les banques afin qu’elles mettent en place
un cadre de gestion propre au risque opérationnel (système de gestion de risque,
senior management, suffisamment de ressources dédiées à la gestion du risque
opérationnel dans les lignes d’affaires). Ce cadre permet, entre autres,
l’identification des pertes et la mesure d’un capital opérationnel. Une façon de
couvrir l’exposition au risque opérationnel est de détenir un capital permettant
de couvrir les pertes non anticipées, comme c’est le cas pour le risque de marché
et de crédit.
Plusieurs approches de mesure de capital risque opérationnel ont été proposées
par les autorités règlementaires, sauf que les banques sont invitées à développer
leur propre méthode, une méthode de mesure avancée qui reflètera mieux le
niveau de risque opérationnel.
 I. Caractéristiques du risque opérationnel

Pour une gestion efficace du risque opérationnel, il est indispensable de définir

avec précision ce type de risque. Or, il n’existe pas une définition unanime et
universelle du risque opérationnel. La définition souvent retenue est celle du
comité de Bâle (2005) qui spécifie le risque opérationnel comme étant « le risque
de pertes provenant de processus internes inadéquats ou défaillants, de
personnes et systèmes ou d’évènements externes ». Le champ d’application de
cette définition est tellement large qu’il est difficile d’établir une liste exhaustive
des risques opérationnels. Ces derniers recouvrent aussi bien les
risques inhérents au facteur humain (fraudes, erreurs, etc.) que ceux liés aux
procédures internes (failles dans les procédures de contrôle interne, systèmes
d’information défectueux, etc.) ou même des risques complètement externes
aux banques tels que les catastrophes naturelles. La définition inclut également
le risque juridique (notamment le risque d’amendes, de pénalités, de dommages
et intérêts), mais exclut les risques stratégiques et les risques de réputation.
L’accord de Bâle II classe les risques opérationnels en 7 catégories différentes :
fraude interne, fraude externe, pratiques d’emploi et de sécurité au travail,
pratiques liées aux clients, aux produits et aux activités commerciales, dommage
aux actifs physiques, arrêt d’activité et échec des systèmes, gestion de
l’exécution des opérations, des livraisons et des processus (Basel Committee on
Banking Supervision, 2005).

 Le risque humain
Il a souvent été constaté que la survenance de sinistres suite à des causes
humaines provenait d’un environnement propice qui regroupait plusieurs
facteurs personnels ou associés au contexte de la banque par exemple ( Les trois
risques synthétisés par l’ouvrage de Christian Jimenz Patrick Merlier «
Prévention et Gestion des risques Opérationnels », Revue Banque) :Erreurs
humaines suite à des rythmes non adaptés, absence de repos, charge trop
importante, stress permanent, manque de culture de contrôle….

 Le risque lié aux systèmes d’information

Le système d’information joue un rôle primordial dans une institution financière,
pour cette raison une erreur au niveau des aspects technologiques, va entrainer
des conséquences qui peuvent être désastreuses. Par exemple : le nouveau
mode de paiement via l’internet avec une forte probabilité de tomber dans des
problèmes de sécurités et d’identification de l’acheteur ou le vendeur. Ces
évolutions ont entraîné de nouveaux risques qui ont déjà fait l’objet de
l’attention des régulateurs à travers la publication du livre blanc sur la sécurité
des systèmes d’information.

 Le risque organisationnel et traitement :

Le secteur bancaire a connu des multitudes d’évolutions au niveau des produits,
services, marchés… qui nécessitent une adaptation solide notamment dans ses
modèles d’organisations.

 Fraude interne :
Par exemple, le vol commis par un employé (actifs physiques, numériques,
moyens de paiement), la falsification de documents, le délit d’initié d’un
employé opérant pour son propre compte, les informations inexactes
communiquées sur ses positions de marché comme c’est le cas de Jérôme Kerviel
de la Société Générale.

 Fraude externe :
Par exemple, le détournement de fonds, les faux en écriture, l’usurpation
d’identité, le vol de données, le piratage informatique, les opérations de
cavalerie.

 Pratiques en matière d’emploi et de sécurité sur le lieu

de travail :
Par exemple, la violation des règles de santé et de sécurité des employés, le délit
d’entrave aux activités syndicales, la discrimination à l’embauche.

 Clients, produits et pratiques commerciales :

Par exemple, le défaut de conseil, le défaut d’information, la violation du secret
bancaire, la vente forcée, le soutien, la rupture abusive de contrat.

 Dommages aux actifs corporels :

Par exemple, dégradation volontaire de la part d’un salarié, actes de terrorisme,
vandalisme, séismes, incendies et inondations.
 II. Réglementation prudentielle et risque opérationnel bancaire

Dans un souci d’améliorer la gestion des risques bancaires, le comité de Bâle

s’est focalisé au départ sur le risque de crédit (via le ratio Cooke mis en place en
1988), puis il a introduit le risque de marché et le risque opérationnel dans le
cadre de la réforme de Bâle II en 2004, ignorant complètement, à l’époque, le
risque systémique. Ce n’est qu’après la crise des subprimes que ce risque est mis
en avant. Il représente, avec le risque de liquidité, la principale innovation de la
réforme de Bâle III.

La croissance accrue de l’incidence des risques opérationnels explique pourquoi

la réglementation prudentielle a imposé aux banques un capital minimum à
respecter pour couvrir le risque opérationnel à travers la nouvelle
règlementation Bâle II. De ce fait il s’est avéré important de mettre le point sur
les apports de cette réforme et éventuellement sur les différentes méthodes de
calcules des nouvelles exigences en fonds propres du risque opérationnel. En
effet, le nouvel accord Bâle II prend en considération en plus des risques
classiques (crédit et marché) le risque opérationnel en substituant à l’ancien
ratio de Cooke le nouveau ratio désormais dénommais ratio Mc Donough défini
mathématiquement par :
𝐟𝐨𝐧𝐝𝐬 𝐩𝐫𝐨𝐩𝐫𝐞
𝑹𝒂𝒕𝒊𝒐 𝑴𝒄 𝑫o𝒏𝒐𝒖𝒈𝒉 = ≥ 𝟖%
𝐫𝐢𝐬𝐪𝐮𝐞 𝐝𝐞 𝐜𝐫é𝐝𝐢𝐭 +𝐫𝐢𝐬𝐪𝐮𝐞 𝐝𝐞 𝐦𝐚𝐫𝐜𝐡é+ 𝐫𝐢𝐬𝐪𝐮𝐞 𝐨𝐩é𝐫𝐚𝐭𝐢𝐨𝐧𝐧𝐞

Le ratio de fonds propres proposé dans le cadre des accords de Bâle II intègre
davantage la réalité des risques. Pour le calcul du minimum de fonds propres
exigés, les banques ont le choix entre l’utilisation des méthodes standard et des
méthodes fondées sur des notations internes IRB. Le dispositif de Bâle II repose
sur trois piliers :

- pilier I - « Exigences en fonds propres » ;

- Pilier II - « Processus de surveillance prudentielle » : les autorités de
contrôle peuvent imposer des exigences individuelles supérieures à celles
calculées par les méthodes proposées par le premier pilier
- pilier III - « Discipline de marché » : les établissements bancaires sont
tenus de publier des informations complètes sur la nature, le volume et
les méthodes de gestion de leurs risques.
En particulier, le comité de Bâle exige des banques l’allocation de capital
permettant de couvrir leur risque opérationnel. Il propose à celles-ci trois
méthodes de calcul, sans imposer aucune d’entre-elles :

 L’approche indicatrice de base (Basic

IndicatorApproach ou BIA)
Avant la crise des subprimes, le calcul du fonds propre est fait par la
multiplication du produit net bancaire des trois derniers exercices par un
coefficient α qui est fixé à 15%. Toutefois, après la crise des subprimes, les
banques sont invitées à développer cette méthode parce que si le produit net
d’une année est égale zéro par exemple automatiquement l’exigence de fonds
propres est nulle. A cet effet, les autorités de régulations ont décidé de
considérer uniquement le maximum des produits annuels bruts des trois
dernières années.

 L’approche standardisée (StandardizedApproach ou

STA)
Il s’agit en pratique de la décomposition de l’activité bancaire suivant des lignes
de métiers, ces derniers seront ensuite pondérés en termes de risque
opérationnel selon des coefficients bien definis.il s’agit en fait de 8 lignes de
métiers : financement d’entreprise, activités de marché, banque de détail,
banque commerciale, paiements et règlements, fonctions d’agents, gestion
d’actifs, courtage de détail (Basel Committee on Banking Supervision, 2005).

 Les mesures dites avancées (Advanced

MeasurementApproaches AMA)
L’approche AMA est adoptée par les grandes banques françaises et 75% des
grandes banques mondiales. Car elle permet d’optimiser la charge de fonds
propres à réserver pour le traitement des risques opérationnels. Pour cela
l’adoption de cette méthode nécessite d’abord la mise en place d’une entité
indépendante « Risque opérationnel », chargée de gérer le risque opérationnel
et de mettre en place les procédures et les contrôles associés. Ensuite la banque
choisie la méthode interne d’évaluation des risques opérationnels en fonction
de son profil de risque et surtout en fonction des moyens mises à sa disposition
pour instaurer un système de gestion en adéquation avec ces capacités, dans ce
cadre on souligne que plus la méthode est moins contrariante en terme de
moyen, plus les fonds réglementaires alloués sont important, ce qui montre que
lorsque les méthodes de calcul du risque plus avancées permettent de réaliser
des économies en termes de fonds propres exigés.
Selon une étude menée par le cabinet SIA conseil (3eme trimestre 2003), il
apparaît que « près de trois quart des institutions financières déclarent avoir
opté pour les méthodes standard et avancée pour évaluer leur exposition au
risque. »
Les deux méthodes sont assez proches dans la mesure où elles obligent la
banque à :
- identifier, à chaque niveau de l’organisation, les processus supportant des
risques opérationnels, formuler ces risques et les coter (probabilité
d’occurrence / perte) : c’est la phase de cartographie des risques
opérationnels ;
- mettre en place un dispositif de collecte des incidents.

 Cartographier les risques pour déterminer le profil de risque de

la banque :
Cette phase est une étape clé car elle détermine sensiblement la nature des
incidents qui seront collectés de façon efficace et homogène et donc suivis par
la suite. Cet exercice permettra également de définir une nomenclature des
risques valable pour l’ensemble de l’organisation. La cartographie des risques est
donc la formalisation du travail d’identification des risques opérationnels. Cet
exercice passe par les phases suivantes :
- Décomposer en activités chaque processus supportant des risques
opérationnels ;
- Pour chaque activité, recenser les risques associés ;
- Pour chaque risque, coter les pertes et leur probabilité d’occurrence ;
- Matricer les risques sur les axes fréquence et préjudice ;
- Déterminer visuellement, à partir de la matrice, les risques significatifs
(c’est à dire ceux que l’on décide de recueillir dans l’outil de collecte).
 Le dispositif de collecte des incidents :
Pour légitimer en 2006 l’emploi des méthodes standard ou avancées, la banque
devra s’être dotée dès début 2004 :
- d’un dispositif de collecte des incidents accessible par toutes ses entités ;
 - d’une base de données dédiée pour stocker les incidents ;
Dans le cadre de l’approche avancée, différentes méthodes d’évaluation du
risque opérationnel peuvent être retenues. Elles peuvent être classées en 3
grandes familles : les méthodes statistiques, les approches par scénario et les
approches par « scorecard ».
A. L’approche actuarielle ou « Loss Distribution Approach » (LDA) :
Cette méthode est basée sur les données collectées concernant les évènements
passés de pertes tout en combinant des sources internes et externes
d’informations, c’est la principale approche retenue dans le cadre des méthodes
statistiques.
Le principe de la méthode LDA est de modéliser la perte liée au risque
opérationnel pour une période donnée (un an par exemple) et d’en déduire la
valeur en risque. Le principe est de considérer que la perte annuelle potentielle
d’une banque se compose d’une fréquence et d’une sévérité.
B. L’approche par scénario :
Elle est basée sur les opinions subjectives des experts comme point de départ
pour la détermination des exigences en capital et la couverture du risque
opérationnel. Plusieurs tentatives de modélisation ont été faites afin de
combiner l’approche actuarielle et l’approche par scénario pour satisfaire les
exigences de la réglementation prudentielle.
C. . L’approche par « scorecard » ou Risk Drivers and Controls Approach
(RDCA) :
Elle est basée sur des indicateurs de risque reflétant les risques opérationnels
plutôt que sur des données statistiques. À partir de questionnaires, préparés par
des experts en risques bancaires, un score est établi pour chaque ligne de métier
et pour chaque type de risque opérationnel afin d’évaluer la quantité de capital
requise pour couvrir un tel risque. Le score est recalculé régulièrement,
permettant d’ajuster le montant du capital en fonction de l’évolution des
risques.

Pilier II - « Processus de surveillance prudentielle »

Le Comité considère la surveillance prudentielle comme un complément
essentiel des exigences de fonds propres et de la discipline de marché. L'objectif
du deuxième pilier de ce nouveau dispositif est de s'assurer que les banques
appliquent des procédures internes saines pour déterminer l'adéquation de
leurs fonds propres sur la base d'une évaluation approfondie des risques
encourus. Les autorités devront juger de la qualité de ces procédures. Le Comité
cherche donc à favoriser un dialogue plus actif entre banques et autorités de
contrôle, de façon que, lorsqu'une défaillance est constatée, des mesures
rapides et décisives soient prises pour atténuer le risque ou rétablir le niveau des
fonds propres. Aussi, une des exigences du deuxième pilier réside dans la
relation qu'il établit avec les exigences correspondant aux méthodes complexes
du premier pilier en regard du risque de crédit. Les autorités de contrôle doivent
veiller à ce que les banques respectent en permanence ces exigences.
pilier III - « Discipline de marché »
Ce pilier repose sur le principe de la discipline de marché avec différentes
informations à publier en matière de risque de crédits, de marchés opérationnels
ainsi que sur le montant des fonds propres, les opérations de titrisation mises en
place et enfin les méthodes d'évaluations et de contrôle du risque. Il ne s'agit
bien sûr pas de dévoiler ses méthodes, mais d'en communiquer l'existence. La
deuxième novation est liée à l’incitation même à une meilleure gestion des
risques par une amélioration de la sensibilité des fonds propres aux risques. La
gestion du risque de crédit est affinée afin de mieux prendre en compte les
caractéristiques des contreparties. Par ailleurs, le régulateur introduit pour la
première fois la nécessité de gérer de manière explicite le risque opérationnel.
L’incitation à une meilleure gestion passe par l’accroissement de la flexibilité
dans le dispositif en ce sens qu’il est possible pour les banques de déterminer
leurs besoins en fonds propres selon leurs propres méthodes. Le régulateur
s’appuie alors sur les dispositifs internes, à charge pour les banques d’apporter
la preuve que ceux-ci sont pertinents. Les banques sont incitées à utiliser des
méthodes avancées et ainsi améliorer leur gestion des risques. Cette incitation
aux dispositifs internes est une reconnaissance explicite de la supériorité
informationnelle des banques, celles-ci cherchant alors l’utilisation efficace de
cette information. C’est véritablement une nouvelle philosophie de la part du
comité, qui considère qu’il devient plus efficient de laisser le détail de la
règlementation aux établissements eux-mêmes et de les responsabiliser sur la
gestion et le contrôle à posteriori de la pertinence des dispositifs en place.
 III. Risque opérationnel : grand absent de Bâle III

La réforme de Bâle III vise à renforcer la stabilité du système bancaire en

proposant une révision des règles bancaires prudentielles existantes. Elle
introduit de nouvelles mesures qui seront appliquées progressivement à partir
de 2013 (Basel Committee on Banking Supervision, 2010). Ces dernières visent
essentiellement à renforcer la qualité et le niveau des fonds propres des
banques, à surveiller la liquidité, à instaurer un ratio d’effet de levier et à
introduire une dimension macro-prudentielle et contracyclique, négligeant
cependant la surveillance du risque opérationnel. Les principales mesures
introduites par Bâle III seront exposées dans ce qui suit.

 Exigences en matière de solvabilité

Les nouvelles normes prudentielles imposent aux banques un ratio de solvabilité
plus exigeant. En effet, le ratio Core Tier 1 (noyau dur du capital des banques)
est passé de 2% (Bâle II) à 4,5% (Bâle III) avec en plus un « matelas » de protection
supplémentaire de 2,5%. Ces mesures s’accompagnent d’un renforcement de la
qualité des fonds propres, en introduisant une définition plus stricte des fonds
propres de base.

 Surveillance du risque de liquidité

Afin d’éviter les crises de liquidité et les tensions entre institutions

financières,deux ratios de liquidité sont introduits par Bâle III : le « Liquidity
Coverage Ratio »(LCR), permettant aux banques de faire face à une crise de
liquidité aigüe pendant un mois, et le « Net Stable Funding Ratio » (NSFR) leur
permettant de résister à une crise pendant une année.
Les actifs liquides correspondent au montant susceptible d’être transféré en
cash même en période de crise.

 Mise en place d’un ratio d’effet de levier

L’accord de Bâle III a pour objectif de définir un ratio d’effet de levier comme
mesure améliorant les exigences en fonds propres.

Le dispositif de Bâle III tente de pallier les insuffisances de Bâle II, qui ne prend
pas en considération le caractère systémique de certains établissements
financiers et qui se focalise sur les banques individuelles sans se soucier de la
stabilité de l’ensemble du système financier.
Dans le but de réduire le risque systémique, le dispositif de Bâle III envisage de
mettre en place une surveillance renforcée et une surcharge en capital
additionnelle pour les institutions bancaires dites « systémiques ». Ces dernières
se distinguent notamment par leur taille et leur degré d’interconnexion avec les
autres institutions. Le comité de Bâle s’est basé sur les principes clés proposés
par le Financial Stability Board (FSB, 2010). Toutefois, les normes ne sont pas
encore définies avec précision et les modalités sont encore en discussion.

 Instauration de mesures contra-cycliques

Afin de limiter les effets de pro-cyclicité (en temps de crise, les banques
réduisent leur offre de crédit pour maintenir un niveau de solvabilité constant,
ce qui a pour effet d’aggraver la crise), les banques seront tenues de constituer
des coussins en capital destinés à absorber les pertes en période économique
dégradée, ceci afin de stabiliser le système bancaire en lissant les chocs
économiques.
 IV. La gestion du Risque Opérationnel (RO) :

La plupart des banques ont développé un modèle de risque opérationnel ou ORF

(Operational Risk Framework) afin de respecter les normes réglementaires. Il est
destiné à remplir deux objectifs principaux : d’une part, assurer la mise en place
de processus durables de suivi des risques opérationnels pour satisfaire les
exigences externes en matière d’audit et de reporting des pertes opérationnelles
(e.g. « Sarbanes-Oxley 404 » 48). D’autre part, développer une métrique
d’évaluation du risque, développer des cartographies de risque standards, et
mettre en oeuvre une base de données exhaustive, sorte d’inventaire du risque
opérationnel ou ORI (Operational Risk Inventory) qui recense et trace les
facteurs de risque, les incidents et les traitements associés, et plus globalement
la surface d’exposition de la banque au risque opérationnel.
La structure d’un ORF repose sur cinq principes fondamentaux qui doivent être
activés au sein de la banque :
- La responsabilisation et le renforcement des différents niveaux de
management ;
- Garantir l’indépendance de la fonction en chargedu contrôle du risque ;
- Communiquer sur le risque : développer une communication
interne/externe sur le risque opérationnel ;
- Sécuriser le Produit net bancaire ;
- Préserver la réputation et l’image de la banque.
Le rôle d’un ORF est clairement de mobiliser l’organisation autour du risque
opérationnel via des équipes centralisées ou la participation à divers comités
d’évaluation.
La figure 3 illustre comment s’articulent les six étapes ou composantes clés d’un
ORF :
 Source : https://www.cairn.info/revue-francaise-de-gestion-2009-1-page-93.html

Dans beaucoup de banques, ces modèles de risque opérationnels ORF ont

permis de répondre aux exigences réglementaires externes telles que Bâle II et
Sarbannes-Oxley. Les banques ont pu mesurer, suivre et gérer au plus près leur
capital économique. Enfin, elles sont parvenues à mettre en place des contrôles
internes adéquats du reporting financier global.
 Conclusion
Les problèmes bancaires dont les conséquences financières étaient substantiels,
n’étaient pas dus aux mauvaises décisions de crédit mais principalement aux
fraudes humaines, au manque de contrôle interne ou aux menaces
technologiques. Le risque opérationnel se retrouve ainsi au cœur de la
réglementation prudentielle.
Toutefois, malgré l’importance du risque opérationnel et l’intérêt qu’il a suscité
dans la recherche académique, la réglementation prudentielle ne s’est pas
focalisée sur ce risque en particulier. En effet, depuis la crise des subprimes, la
surveillance du risque de liquidité et du risque systémique est largement
privilégiée par les régulateurs. Or, sans une bonne gestion du risque
opérationnel et un réel changement dans les pratiques bancaires, les réformes
des réglementations prudentielles ne semblent pas être en mesure d’éviter de
nouvelles crises liées au risque opérationnel.