Evaluation de la performance du service d’Audit …bibliotheque.cesag.sn/gestion/documents_numeriques/... · Le processus de gestion et le pilotage du risque opérationnel : cas

Présenté par : Dirigé par :

Avril 2012

Processus de gestion et de pilotage du risque opérationnel : cas de la Société Générale de Banques au Sénégal (SGBS)

TRAORE Penda M. Hugues Oscar LOKOSSOU

Enseignant Associé au CESAG

Contrôleur de gestion

Institut Supérieur de Comptabilité,

de Banque et de Finance

(ISCBF)

Master Professionnel en

Comptabilité et Gestion Financière

(MPCGF)

Mémoire de fin d’étude THEME

Promotion 4 (2009-2011)

Centre Africain d’Etudes Supérieures en Gestion

CESAG - BIBLIOTHEQUE

Le processus de gestion et le pilotage du risque opérationnel : cas de la SGBS

TRAORE Penda 4ème promotion MPCGF/CESAG Page i

DEDICACES

Je dédie ce modeste travail à tous ceux qui m’aiment et qui se sont toujours souciés de mon

sort, particulièrement ;

mes grands parents, maternel et paternel ;

mon père Daouda TRAORE et ma mère Ramatoulaye SALL qui n’ont ménagé aucun

effort durant tout mon cursus scolaire, pour la réussite de mes études;

mes très chères tantes Fatou kiné SALL et Magath SALL ;

mes tuteurs Mallé SALL et Lika DIAGNE ;

toute ma famille. CESAG - BIBLIOTHEQUE


TRAORE Penda 4ème promotion MPCGF/CESAG Page ii

REMERCIEMENTS

Je tiens d’abord à rendre grâce à DIEU, pour m’avoir permis de réaliser ce travail.

Ensuite mes remerciements vont à l’endroit de :

mon maitre de mémoire, Monsieur Hugues Oscar LOKOSSOU, pour sa disponibilité

et la qualité de ses conseils ;

Monsieur KEBE Tijane et Mr BARRY Abdoulaye Responsables Risque Opérationnel

pour m’avoir encadré, soutenu et encouragé durant tout le stage. Et je tiens à

mentionner le plaisir que j’ai eu à travailler avec eux ainsi que tous les membres du

Secrétariat Général de la SGBS ;

Monsieur Papa Mbassor SARR Directeur des traitements bancaires de la SGBS pour

ses précieux conseils et sa disponibilité ;

Monsieur Khadim DIOKHANE Responsable du contrôle permanent pour ses

conseils ;

mon mari Papa Ibrahima DIA qui a cru en moi et m’a soutenue durant toute la

rédaction de ce travail ;

mes frères, sœurs, tantes, oncles, cousins, cousines, amis qui m’ont toujours soutenue

et ont forgé ma personnalité ;

mes beaux parents Cheikhou Sylla Dia et Mame Haby Soumaré, pour leur soutien et

leur générosité ;

et enfin tous ceux qui me sont chers et qui m’ont offert leur aide tant morale que

logistique.



TRAORE Penda 4ème promotion MPCGF/CESAG Page iii

LISTES DES SIGLES ET ABREVIATIONS

AS : Analyse des Scénarios

BCA : Banque Commerciale d’Afrique

BCEAO : Banque Centrale des Etats de l’Afrique de l’Ouest

BHFM : Banque de Détail à l’international

BHFM/ROC : BHFM / Responsable Risque Opérationnel

CCCI : Comité de Coordination du Contrôle Interne

CE : Catégorie d’Evènement

CRBF : Comité de la Règlementation Bancaire et Financière

CSMM : Centre de Service Mutualisé

FR : Facteurs de Risques

IAS: International Accounting Standards

IFRS: International Financial Reporting Standards

LAB/FT : Lutte Anti-Blanchiment et financement du terrorisme

PCA : Plan de Continuité d’Activités

PCB : Plan Comptable Bancaire

PNB : Produit Net Bancaire

RI : Risque Intrinsèque

RISQ /OPE : Pole des Risques Opérationnels

RO : Risque Opérationnel

RR : Risque Résiduel

SCE : Sous-catégorie d’évènement

SG : Société Générale

SGBS : Société Générale de Banques au Sénégal

SI : Systèmes d’information

UE : Union Européenne

UEMOA : Union Economique Monétaire Ouest Africaine



TRAORE Penda 4ème promotion MPCGF/CESAG Page iv

LISTE DES FIGURES ET TABLEAUX

FIGURES

Figure 1 : Les trois piliers des accords de bâle 2 ..................................................................... 23

Figure 2 : Modèle d’analyse ..................................................................................................... 41

Figure 3 : Echelle sévérité du groupe ....................................................................................... 76

TABLEAUX

Tableau 1 : Tableau des lignes métier ...................................................................................... 26

Tableau 2 : Résumé des étapes de la gestion du risque opérationnel bancaire ........................ 28

Tableau 3 : Évolution du chiffre d’affaires de la SGBS .......................................................... 49

Tableau 4 : Barème de notation ................................................................................................ 62

Tableau 5 : Barème de notation des risques ............................................................................. 65

Tableau 6 : Grille d’évaluation des risques intrèseques ........................................................... 75

Tableau 7 : Typologie des types de pertes à identifier et à chiffrer ......................................... 84

Tableau 8 : Synthèse du cadre méthodologique du risque opérationnel .................................. 87

Tableau 9 : Synthèse sur le processus de gestion des risques opérationnels ............................ 88

Tableau 10 : Synthèse sur les outils du dispositif de gestion ................................................... 89



TRAORE Penda 4ème promotion MPCGF/CESAG Page v

LISTE DES ANNEXES

Annexe 1 : Organigramme SGBS ............................................................................................ 96

Annexe 2 : Organigramme du service Contrôle Permanent ..................................................... 97

Annexe 3 : Cartographie des risques intrinsèques : Liste indicative des responsables

opérationnels concernés par catégorie d’événement ............................................. 98

Annexe 4 : Exemple de KRI .................................................................................................... 99

Annexe 5 : Questionnaire d’enquête ...................................................................................... 102

Annexe 6 : Caractéristiques d’un KRI ................................................................................... 103

Annexe 7 : Glossaire .............................................................................................................. 104



TRAORE Penda 4ème promotion MPCGF/CESAG Page vi

TABLE DES MATIERES

DEDICACES .......................................................................................................................... i

REMERCIEMENTS .............................................................................................................. ii

LISTES DES SIGLES ET ABREVIATIONS ...................................................................... iii

LISTE DES FIGURES ET TABLEAUX ............................................................................. iv

LISTE DES ANNEXES ......................................................................................................... v

TABLE DES MATIERES .................................................................................................... vi

INTRODUCTION GENERALE ................................................................................................ 1

PREMIERE PARTIE : CADRE THEORIQUE ......................................................................... 9

CHAPITRE 1 : LA NOTION DU RISQUE OPERATIONNEL ............................................. 11

1.1. Les risques liés à l’activité bancaire .......................................................................... 11

1.1.1. Le risque de crédit .............................................................................................. 12

1.1.1.1. Le risque de contrepartie ............................................................................. 12

1.1.1.2. Le risque d’exposition ................................................................................. 13

1.1.1.3. Le risque de récupération ............................................................................ 13

1.1.2. Le risque de marché ........................................................................................... 13

1.1.2.1. Le risque de taux d’intérêt .......................................................................... 14

1.1.2.2. Le risque de change..................................................................................... 14

1.1.3. Le risque opérationnel ........................................................................................ 15

1.2. Les risques opérationnels selon Bâle 2 ...................................................................... 17

1.2.1. Typologie de risques opérationnels selon Bâle 2 ............................................... 17

1.2.2. Les composantes du risque opérationnel ............................................................ 19

CHAPITRE 2 : LE DISPOSITIF DE GESTION ET DE PILOTAGE DES RISQUES

OPERATIONNELS DANS LE SECTEUR BANCAIRE ....................................................... 21

2.1. Objectifs de la gestion du risque opérationnel ........................................................... 22

2.2. Bâle 2 et la gestion des risques opérationnels ........................................................... 22

2.2.1. L’approche indicateur de base (Basic Indicator Approach BIA) ....................... 24

2.2.2. L’ approche standard (Standardised Approach STA) ........................................ 25

2.2.3. L’approche par méthode avancée (Advanced Measurement Approach AMA) . 26

2.2.3.1. L’approche par tableaux de bord (scorecard approach) .............................. 27

2.2.3.2. L’approche en mesure interne (internal measurement approach) ............... 27

2.2.3.3. L’approche LDA (loss distribution approach) ............................................ 28



TRAORE Penda 4ème promotion MPCGF/CESAG Page vii

2.3. Gestion des risques opérationnels : identification, mesure et maitrise des risques

opérationnels ........................................................................................................................ 28

2.3.1. Identification et mesure des risques opérationnels ............................................. 29

2.3.1.1. Cartographie des risques ............................................................................. 29

2.3.1.2. Les indicateurs de risque ............................................................................. 31

2.3.1.3. Le self-assessment (auto-évaluation ou évaluation du risque).................... 32

2.3.2. Moyens de maitrise des risques opérationnels ................................................... 33

2.3.2.1. L’audit interne ............................................................................................. 34

2.3.2.2. Autres pratiques internes pour maitriser le risque opérationnel ................. 37

2.3.3. Les techniques d'atténuation du risque opérationnel .......................................... 37

2.3.4. Les plans de continuité d'exploitation ................................................................ 38

CHAPITRE 3 : METHODOLOGIE DE LA RECHERCHE ................................................... 40

3.1. Modèle d’analyse ....................................................................................................... 40

3.2. Les outils de collecte de données .............................................................................. 42

3.2.1. Le questionnaire d’enquête ................................................................................ 42

3.2.2. L’entretien ou interview ..................................................................................... 42

3.2.3. L’observation ..................................................................................................... 43

3.2.4. La recherche documentaire ................................................................................ 43

3.2.5. Echantillon ......................................................................................................... 44

DEUXIEME PARTIE : MISE EN ŒUVRE DU DISPOSITIF DE GESTION ET DE

PILOTAGE DU RISQUE OPERATIONNEL DE LA SGBS ................................................. 46

CHAPITRE 4 : PRÉSENTATION DE LA SOCIÉTÉ GÉNÉRALE DE BANQUES AU

SÉNÉGAL ................................................................................................................................ 48

4.1. Historique de la Société Générale de Banques au Sénégal (SGBS) .......................... 48

4.2. Organisation Générale de la SGBS ........................................................................... 49

4.2.1. Organisation du siège ......................................................................................... 49

4.2.1.1. Organisation institutionnelle ....................................................................... 49

4.2.1.2. Organisation technique ............................................................................... 50

4.2.2. Organisation du Contrôle Permanent ................................................................. 52

4.2.2.1. Pôle Risque Opérationnel ........................................................................... 52

4.2.2.2. Pole Conformité LAB/FT (lutte anti-blanchiment et financement du

terrorisme) .................................................................................................................... 53

4.2.2.3. Pôle Plan de Continuité de l’Activité (PCA) .............................................. 54

4.2.2.4. Pôle Surveillance Permanente ..................................................................... 54



TRAORE Penda 4ème promotion MPCGF/CESAG Page viii

CHAPITRE 5 : LA GESTION ET LE PILOTAGE DU RISQUE OPERATIONNEL

BANCAIRE A LA SGBS ........................................................................................................ 56

5.1. Culture du risque opérationnel et analyse du cadre méthodologique du risque

opérationnel à la SGBS ........................................................................................................ 56

5.1.1. Culture du risque opérationnel ........................................................................... 57

5.1.2. Analyse du cadre méthodologique du RO .......................................................... 57

5.2. Description du dispositif d’évaluation quantitatif et qualitatif des RO .................... 57

5.2.1. Auto évaluation des risques et des contrôles (RCSA : Risk & Control Self

Assesment) ....................................................................................................................... 58

5.2.1.1. Cartographie des risques intrinsèques ......................................................... 58

5.2.1.2. Scorecard ..................................................................................................... 61

5.2.1.3. Cartographie des risques résiduels .............................................................. 64

5.2.2. indicateurs clés de risque ou (KRI : Key Risk Indicators) ................................. 67

5.2.2.1. Mode de détermination ............................................................................... 67

5.2.2.2. Règles d’évaluation d’un KRI..................................................................... 68

5.2.3. Les analyses de scenarii ..................................................................................... 69

5.2.3.1. Étapes du processus et acteurs .................................................................... 69

5.2.3.2. Les scénarios spécifiques à la SGBS .......................................................... 71

5.2.4. La collecte de pertes internes ............................................................................. 72

5.2.4.1. Objectif de la collecte des pertes internes ................................................... 73

5.2.4.2. Autres pertes internes .................................................................................. 73

CHAPITRE 6 : EVALUATION ET PERFORMANCE DES OUTILS DU DISPOSITIF DE

GESTION ET DE PILOTAGE DU RISQUE OPERATIONNEL DE LA SGBS ................... 74

6.1. Satisfaction de l’applicabilité des outils du dispositif de gestion du risque

opérationnel de la SGBS ...................................................................................................... 74

6.1.1. Evaluation de l’auto évaluation des risques et des contrôles (RCSA) ............... 75

6.1.2. Les règles d’évaluation d’un indicateur clé de risque (KRI).............................. 81

6.1.3. Analyse et évaluation de scénarios ..................................................................... 82

6.1.4. Collecte des pertes internes ................................................................................ 86

6.2. Forces et faiblesses des outils du dispositif de gestion des risques opérationnels .... 86

6.3. Recommandations ..................................................................................................... 90

CONCLUSION GENERALE .................................................................................................. 93

ANNEXES ............................................................................................................................... 95

BIBLIOGRAPHIE ................................................................................................................. 106


INTRODUCTION GENERALE



TRAORE Penda 4ème promotion MPCGF/CESAG Page 2

L'environnement économique et financier est devenu de plus en plus un milieu à risque. Cela

est dû principalement à son caractère d’instabilité, aux mutations accélérées, une concurrence

accrue dans différents secteurs, la mondialisation des échanges, l'émergence de nouvelles

zones économiques à forte croissance, une sophistication incessante des produits financiers,

l'innovation technologique et une forte volatilité de marché. Le système bancaire international

étant au cœur de ces mutations se trouve donc au centre des circuits et mécanismes financiers.

Il représente le partenaire officiel et habituel des acteurs économiques des différents Etats et

est quotidiennement confronté à la prise de décision en avenir risqué.

Au cours de ses dernières années, bon nombre de banques ont fait l’objet de scandales

financiers, qui ont conduit à des faillites retentissantes, ou encore à des pertes financières

considérables, ce qui rend davantage l’environnement économique instable. Des analystes

financiers ont noté au cours de ces dix dernières années, des pertes bancaires estimées à 12

milliards de dollars1 (d'après le résultat d'une enquête internationale sur les risques

opérationnel menée par la BBA) qui ont été principalement causées par une inadéquation ou

une défaillance des procédures, du personnel, des systèmes internes ou à des événements

extérieurs.

En effet, depuis quelques années les banques s’intéressent beaucoup plus aux pertes associées

aux risques dus à des événements attribuables aux personnes, aux processus, aux systèmes et

aux évènements extérieurs. Elles ont donc accordé un intérêt croissant à l’identification de ces

pertes, pour des considérations d’ordre règlementaire d’une part et ensuite du fait des pertes

colossales subies par le secteur bancaire d’autre part. Le coût économique et social d’une

faillite bancaire est exorbitant, comparé à celui de n’importe quelle autre entreprise et justifie

la surveillance du secteur bancaire. La supervision bancaire, fondée largement sur une critique

analytique continue des banques, reste un des principaux facteurs de maintien de la stabilité et

de la confiance du système financier.

Par ailleurs, les autorités prudentielles internationales, ont jugé nécessaire de faire évoluer les

exigences règlementaires pour garantir la résilience du système financier. En effet, les

établissements de crédit sont constamment à la recherche de moyens efficaces pour résoudre

1 BBA (British Bankers association ) ,ISDA ( International swap and derivatives association , RMA ( Robert Morris Associate)




le problème de la gestion des risques bancaires. Selon le comité de Bâle, les banques doivent

se doter de procédures adéquates pour identifier, suivre et contrôler les risques liés à l’activité

de l’entreprise. Elles se doivent de mettre en place un système permettant une identification,

une mesure précise, un suivi et un contrôle adéquat pour la maitrise des risques bancaires.

Cependant, avec la crise profonde qu'a connue le système bancaire et financier au milieu des

années 1980, une vaste réforme a été entreprise par les autorités monétaires et de contrôle de

l’Union Monétaire Ouest Africaine (UMOA). Celle-ci a permis notamment de renforcer le

contrôle des banques et établissements financiers. Ainsi, au début des années 1990, un

nouveau dispositif prudentiel a été adopté. Ce dispositif a fait l'objet d'un réaménagement en

1999 pour tenir compte des normes internationales qui ont également pris en compte les

conséquences des crises qui ont secoué les systèmes financiers à l'échelle internationale

(crises en Asie, au Mexique, etc.), ainsi que les phénomènes de globalisation financière et de

mondialisation.

Toutefois, le dispositif prudentiel de « la réforme Bâle 2 » apporte une innovation pour

laquelle, toutes les banques doivent répondre aux nombreux défis à savoir l’adaptation de

leurs outils de sélection et de mesure des risques bancaires, mais surtout la mise en place d’un

dispositif de gestion des risques opérationnels.

Ce dispositif regroupe des contrôleurs bancaires de treize pays et collabore avec les organes

de contrôle d’autres régions du monde. Le dispositif prudentiel a pour but de renforcer la

surveillance des banques et établissements financiers, et est géré par la banque des règlements

internationaux. De ce fait, plusieurs banques dans l’espace UEMOA (Union Economique et

Monétaire Ouest Africaine) se sont donc conformées à cette obligation règlementaire, afin

d’assurer la maitrise des coûts liés à l’occurrence des risques opérationnels et de sécuriser

leurs résultats.

Au titre de ces banques, figure la Société Générale de Banques au Sénégal (SGBS), filiale du

Groupe Société Générale à Paris qui a connu d’énormes pertes avec l’affaire Albert




Spaggiari2 en 1979 et l’affaire Jérôme Kerviel 3 en 2008. Le Groupe Société Générale a

connu l’une de ses plus grandes pertes avec l’affaire Jérôme Kerviel.

Même si paradoxalement l'affaire Kerviel a servi à la Société Générale pendant la crise

financière, elle lui a engendré des pertes estimées à près de 4,9 milliards d’euros, ce qui a

affecté sa crédibilité en matière de gestion des risques et a entaché sa réputation d'excellence

dans certaines activités de marché. L’affaire Kerviel, est sans doute très complexe mais elle a

permis à la Société Générale de voir ses carences et ses limites en matière de gestion du risque

opérationnel.

Suite à ce scandale, la SGBS prend conscience qu’elle n’est pas en mesure de faire face à

d’éventuels risques opérationnels auxquels elle pourrait être confrontée. Une mauvaise

gestion des risques opérationnels représente une source de menaces pour l’image et la

continuité d’exploitation de toute banque. La tendance ne doit plus consister à attendre la

réalisation du risque, pour en délimiter les responsabilités et essayer de limiter les préjudices.

La meilleure gestion du risque opérationnel pour une banque, est d’avoir les moyens actifs qui

auraient pour but de prévoir et de détecter ces risques. Le risque opérationnel a toujours

existé, mais était souvent ignoré ou géré d'une manière fragmentée. Aujourd'hui, malgré sa

complexité et sa diversité, la SGBS tente de le mesurer et de le gérer comme les autres risques

car il a pris avec les avancées technologiques et la complexité croissante de processus de

gestion, une ampleur considérable.

Une gestion proactive du risque opérationnel, outre qu'elle permette de se conformer aux

exigences du comité de Bâle, aboutit nécessairement à une amélioration des conditions de

production à savoir la rationalisation des processus d'où gain de productivité, l’amélioration

de la qualité d'où meilleure image de marque…. En particulier une telle démarche permet de

2 Albert Spaggiari, le “cerveau” du casse de Nice réussie un coup monumental avec le cambriolage de la salle des coffres de la Société Générale de Nice en passant par les égouts. Le butin s'élève à 5 milliards de centimes (24 Millions d'euros) de l'époque. Spaggiari en cavale devient le premier bandit médiatique et donne régulièrement de ses nouvelles à la presse.

3 Jérôme Kerviel un ancien opérateur de marché salarié de la Société générale, jugé responsable, à hauteur de 4,82 milliards d'euros, des pertes de la banque découvertes en janvier 2008, celles-ci résultant de ses prises de positions sur des contrats à terme sur indices d'actions s'élevant à cette époque à environ 50 milliards d'euros. http://affaires.lapresse.ca/dossiers/litiges-economiques/201206/06/01-4532350-jerome-kerviel-malmene-au-deuxieme-jour-de-son-proces.phpQGH


http://fr.wikipedia.org/wiki/Op%C3%A9rateur_de_march%C3%A9

http://fr.wikipedia.org/wiki/Salari%C3%A9

http://fr.wikipedia.org/wiki/Soci%C3%A9t%C3%A9_g%C3%A9n%C3%A9rale

http://fr.wikipedia.org/wiki/Crise_financi%C3%A8re_de_janvier_2008_%C3%A0_la_Soci%C3%A9t%C3%A9_g%C3%A9n%C3%A9rale

http://fr.wikipedia.org/wiki/Contrat_%C3%A0_terme

http://fr.wikipedia.org/wiki/Indice_boursier

http://affaires.lapresse.ca/dossiers/litiges-economiques/201206/06/01-4532350-jerome-kerviel-malmene-au-deuxieme-jour-de-son-proces.php




mettre en place des outils quantitatifs permettant de fixer aux équipes opérationnelles des

objectifs mesurables en termes de réduction des risques opérationnels.

Au cours d’un exercice de collecte de pertes par le groupe Risk Management du Comité de

Bâle en 2002), il a été révélé que les 89 banques ayant participé à cet exercice ont connu sur

le seul exercice 2001 plus de 47000 événements de pertes pour un montant cumulé de pertes

opérationnelles s'élevant à près de 7,8 milliards d'euros.

Ainsi la SGBS décide alors de gérer le risque opérationnel comme une discipline autonome

avec ses propres outils de mesure et ses propres procédures de contrôle, tout comme pour le

risque de crédit ou le risque de marché. Pour ce faire en 2008, la SGBS met en place un

dispositif performant adéquat au mode de fonctionnement et de stratégies de la banque qui

repose dans une large mesure sur le dispositif de contrôle interne du Groupe. Ce dispositif

implique que le risque opérationnel doit être considéré comme une catégorie de risque à part

entière et donc doit faire l’objet d’une identification et d’une évaluation spécifique, d’un suivi

et d’un contrôle normalisé, débouchant sur des mesures de réduction du risque.

La SGBS a mis en œuvre ce dispositif dans le but de mieux maitriser les risques

opérationnels, mais ces risques occasionnent des couts pour la banque, des coûts qui se

traduisent par des pertes de revenus et d’actifs, lesquelles deviennent de plus en plus

importantes aujourd’hui. Et cela, ayant bien entendu des incidences négatives sur la

rentabilité, les provisions, la solvabilité et la liquidité de la banque dans la mesure où

l’intégralité de ses fonds propres est en jeu.

Les risques opérationnels sont difficiles à distinguer, car ils peuvent survenir seuls ou avec

d’autres risques bancaires. Plusieurs raisons peuvent être à l’origine de ce risque :

- incidence du facteur humain (capacité du personnel à maitriser le dispositif,

comportement) ;

- défaillance du système de contrôle interne et de gestion des risques ;

- insuffisance du système d’information (conception défectueuse, absence de sécurité

logique/physique…) ;

- non respect des dispositions règlementaires en ce qui concerne la gestion des risques.

- Et les conséquences qui peuvent en découler sont :




- les fraudes internes ou les malversations des agents de la banque ayant une bonne

connaissance de la nouvelle technologie ;

- les fraudes externes qui peuvent être un hold- up, un piratage informatique ou l’accès

aux informations confidentielles de la banque ;

- l’interruption des activités bancaires ;

- les pertes financières dues au non respect de la règlementation.

Pour faire face à ces perpétuelles menaces, on peut envisager :

- de mettre en place un système de contrôle interne efficace afin de mieux analyser les

risques ;

- d’élaborer une cartographie des risques opérationnels de la banque ;

- de former le personnel afin qu’il maitrise les outils de gestion des risques

opérationnels avec l’avancée de la nouvelle technologie ;

- ou enfin d’évaluer la performance du dispositif de gestion des risques opérationnels

existant mise en place par la SGBS et proposer des recommandations.

La mise en place d’un dispositif de gestion des risques opérationnels de la SGBS ne résolvant

pas touts les problèmes notamment celle liée à la complexité des outils de gestion des risques

opérationnels, nous allons retenir la dernière solution qui consiste à : évaluer la performance

du dispositif de gestion des risques opérationnels de la SGBS.

Cette solution permettra de montrer à la SGBS, les failles du dispositif de gestion des risques

opérationnels mis en place, en passant par l’analyse des critères de performance des outils

utilisés.

Tout au long de ce travail, la question à laquelle nous tenterons de répondre est de savoir :

quelle est la performance des outils permettant de mesurer la qualité du dispositif de gestion

du risque opérationnel mis en place par la Société Générale de Banques au Sénégal?

Pour répondre à cette question principale nous passerons par des questions spécifiques

suivantes :

- quels sont les outils d’identification, de mesure et de maitrise des risques

opérationnels ?

- Comment évaluer un dispositif de gestion des risques opérationnels ?




- quelles sont les exigences de Bâle 2 en matière de maitrise et quelles approches de

mesure des risques opérationnels ?

Notre étude portera alors sur le thème suivant : « Le Processus de gestion et de pilotage du

risque opérationnel : cas de la Société Générale de Banques au Sénégal (SGBS) ».

L’objectif principal de ce travail étant d’évaluer les outils du dispositif mis en place par la

SGBS, les objectifs spécifiques seront de :

- décrire et mesurer la performance des outils d’identification, de mesure et de maitrise

des risques opérationnels ;

- identifier les méthodes d’évaluation du dispositif de gestion du risque opérationnel ;

- apprécier le niveau de conformité du dispositif de gestion des risques opérationnels

mis en place par la SGBS conformément aux exigences du Comité de Bâle.

Notre étude revêt plusieurs intérêts.

Cette étude permettra à la SGBS de connaitre non seulement les failles de leur dispositif de

gestion du risque opérationnel mais aussi de prendre de meilleures mesures pour faire face à

ce risque.

Ensuite, par une synthèse des définitions et d’une description des composants du risque

opérationnel, ce travail s’attèlera à donner une vision claire de la notion et de la gestion du

risque opérationnel pour tous les lecteurs de ce mémoire.

Et pour nous stagiaires, cette étude permettra de mettre en pratique toutes les théories

acquises au cours de notre formation.

Cette étude se fera essentiellement en deux parties.

La première partie portera sur trois chapitres, nous aborderons dans un premier temps la

notion du risque opérationnel bancaire, ensuite nous présenterons le dispositif de maitrise des

risques opérationnels et enfin la méthodologie de recherche adoptée pour mener à bien ce

travail.

La deuxième partie s’articulera également autour de trois chapitres, à savoir la présentation de

la SGBS, ensuite à la description du processus de gestion des risques opérationnels de la




SGBS et enfin nous clôturerons cette partie en faisant une analyse de la gestion du risque

opérationnel de la SGBS suivie de recommandations.


PREMIERE PARTIE : CADRE THEORIQUE




« Dans un monde complexe et imprévisible qui ne laisse plus de droit à l’erreur, les dirigeants

doivent se donner d’avantage de moyens de gérer leurs risques ; et les actionnaires et autres

parties prenantes sont en droit d’exiger plus de sécurité » (BAPST & BERGERET, 2002 :10).

La notion de risque comporte deux aspects, un aspect positif et un autre négatif, le risque

positif ou up-side risk représente le risque pris par l'organisation et s'accompagne avec un

accroissement des résultats, le risque négatif ou down-side risk est par contre le risque d'avoir

les résultats de l'organisation en diminution. C'est ce dernier qui préoccupe le plus les

dirigeants de banques, sachant qu’il existe une panoplie de risques bancaires (risque de

crédits, risque de marché, risque de liquidité...) qui sont bien connus dans leurs principes.

La nouveauté tient plutôt à la diversité des risques auxquels les banques doivent faire face, à

savoir les risques opérationnels qui ont engendré de nombreuses pertes dont l’ampleur est

particulière, à leur soudaineté et au fait que les dirigeants soient parfois surpris ou dépassés.

Tel est le cas auquel le Groupe Société Générale a été confronté, ce qui a suscité en nous,

l’intérêt de savoir le processus de gestion et de pilotage des risques opérationnels de sa filiale

à savoir la SGBS.

Ainsi, la première partie de cette étude permettra de faire une analyse de la notion des risques

liés à l’activité bancaire notamment du risque opérationnel, elle se fera alors en trois

chapitres: le premier chapitre portera sur la notion du risque opérationnel, le deuxième sur la

présentation du dispositif de maitrise des risques opérationnels et le troisième sur la

méthodologie de recherche choisie.




CHAPITRE 1 : LA NOTION DU RISQUE OPERATIONNEL

Les banques sont souvent confrontées à une panoplie de risques qui peuvent toucher toutes

leurs branches d’activités. Il est clair que, l’activité bancaire est étroitement liée à la prise de

risques, et ce à tous les niveaux des activités de la banque. Selon le comité de Bâle il existe

entre autres 3 grands risques que les banques doivent maitriser, à savoir :

- le risque de crédit ;

- le risque de marché ;

- le risque opérationnel.

Ces risques peuvent mettre en cause la survie de l’entité, sa compétitivité, sa situation

financière, la qualité de ses services, ainsi que son image de marque. Cependant le risque

opérationnel est le plus difficile à gérer. Cela a été prouvé au cours de ces dernières années,

par l’ampleur des nombreux scandales financiers et la croissance des pertes subies par des

établissements de crédit.

En effet, le risque opérationnel a fait l’objet de plusieurs réflexions, afin de pouvoir délimiter

son périmètre et de lui attribuer une définition claire et communément admise et applicable

aux établissements financiers.

Le nouvel accord de Bâle prend en compte ces 3 grands risques auxquels sont confrontés les

établissements bancaires mais le risque opérationnel constitue l'une des principales novations

de ce nouvel accord. Bâle 2 vient aussi avec une nouvelle structure, reposant sur 3 piliers

complémentaires qui devraient garantir le soutien d'une base optimale de calcul de fonds

propres des établissements bancaires ainsi qu'un renforcement du contrôle tant qu'interne

qu'externe des pratiques d'évaluation des risques.

1.1. Les risques liés à l’activité bancaire

L’activité bancaire est liée à la rencontre des risques et selon Sardi (2002 : 39), le métier de

banquier est « le métier du risque ». Le dilemme auquel le banquier doit faire face n’est pas

d’éviter de prendre des risques mais plutôt de prévenir et de contrôler ces risques.

Dans cette section il est question de recenser les principaux risques liés à l’activité bancaire.

D’après Bratanovic & Van Greuning (2004 :31) on distingue quatre catégories de risques




bancaires que sont les risques financiers, les risques opérationnels, les risques d’exploitation

et les risques accidentels.

Le comité de Bâle 2, retient 3 risques majeurs liés à l’activité bancaire, que l’on verra en

détail dans les sections à venir :

1.1.1. Le risque de crédit

SARDI (2002 : 39) décrit le risque de crédit comme étant la perte potentielle consécutive à

l'incapacité par un débiteur d'honorer ses engagements. Ce risque est lourd de conséquences

pour toute entreprise car toute dette non remboursée est économiquement une perte sèche que

supporte le créancier.

Cependant, il a été montré que les plus importantes défaillances bancaires sont dues, d’une

façon ou d’une autre, à une concentration du risque de crédit.

Dans un sens plus large, ce risque désigne aussi le risque de dégradation de la santé financière

de l'entrepreneur qui réduit les probabilités de remboursement. Le provisionnement du risque

de crédit s'avère alors une partie intégrante du pilotage des risques.

Le risque de crédit combine 3 facteurs plus connus sous le vocable de modèle de CER qui

sont le risque de contrepartie, le risque d’exposition et le risque de récupération.

1.1.1.1. Le risque de contrepartie

Bien qu'il existe plusieurs types de risque de crédit, celui de non remboursement est le risque

majeur encore appelé risque de contrepartie.

Selon De Cousserges (2007 : 108), le risque de contrepartie est « le risque inhérent à l’activité

d’intermédiation traditionnelle et correspond à la défaillance de la contrepartie sur laquelle

une créance ou un engagement est détenu ». Donc on peut dire que le risque de contrepartie

pour le banquier, est le risque de voir son client ne pas respecter son engagement financier, il

se subdivise en 3 risques à savoir :

- le risque de garantie : la banque supporte une perte si elle ne peut exercer la garantie

attachée à un prêt en défaut ou si un produit de cette action s’avère insuffisant pour

couvrir les engagements du débiteur ;




- le risque de concentration : il se manifeste par des pertes importantes dues à une

diversification insuffisante du portefeuille de concours en termes de secteurs

économique, de régions géographiques ou de taille de l’emprunteur ;

- le risque pays : il se manifeste par l’incapacité pour un pays étranger de faire face à ses

engagements en monnaies étrangères de ses ressortissants, ne disposant pas de

réserves suffisantes.

1.1.1.2. Le risque d’exposition

Le risque d'exposition4 est l'évaluation du montant des engagements au jour de la défaillance.

Ce montant dépend du type d'engagement accordé (facilité de caisse, prêt moyen à terme,

caution, opérations de marché, ...), du niveau confirmé ou non, de la durée de l'engagement et

de sa forme d'amortissement (linéaire, dégressif,...).

1.1.1.3. Le risque de récupération

Le risque de récupération5 est, après coût de récupération et de partage, la valeur attendue de

la réalisation des garanties (suretés réelles et personnelles) et de la liquidation des actifs non

gagée de la contrepartie.

La valorisation des garanties détenues vient en déduction de l'exposition. Elle est fonction de

la valeur initiale du bien, du caractère nécessaire ou non pour la poursuite de l'activité, de sa

durée de vie, du marché d'occasion et de la décote en cas de vente forcée.

1.1.2. Le risque de marché

Selon De Cousserges (2007 :110), « les risques de marché sont issus d’une évolution

défavorable du prix d’un actif en général négocié sur un marché et qui n’a pas comme origine

la détérioration de la solvabilité de l’émetteur de l’actif ».

Sardi (2002 : 40) lui, définit les risques de marché comme étant « des pertes potentielles

résultant de la variation du prix des instruments financiers détenus dans le portefeuille de

négociation ou dans le cadre d’une activité de marché dite aussi de Trading ou de négoce ».

4 http://www.finance-factory.fr/Vulgarisation/Raroc.htm 5 http://www.finance-factory.fr/Vulgarisation/Raroc.htm


http://www.finance-factory.fr/Vulgarisation/Raroc.htm




Le risque de marché peut être définit alors comme un risque de pertes au bilan ou au hors

bilan dues à des variations des cours du marché, y compris des cours de change. Le risque de

taux de change, apparaissant comme une composante spécifique du risque de marché, est lié à

la possession par la banque d'actifs ou de contrats en monnaie étrangère et résulte des

variations des cours des devises. Ce risque s'accentue en période d'instabilité de change.

Il existe différents risques de marché selon Vintzel (2001 : 57 ) :

1.1.2.1. Le risque de taux d’intérêt

Toute entreprise se caractérise par des besoins de financement à plus ou moins long terme,

que ce soit pour financer des projets d'investissement ou simplement pour assurer son

développement. Elle a ainsi recours à l'endettement soit auprès d'une banque, soit directement

sur les marchés financiers à court terme ou obligataire, et se trouve alors exposée au risque de

taux d'intérêt Bessis. J (1998).

Les fluctuations des taux d'intérêt exposent le détenteur de titres financiers au risque de

moins-value en capital. C'est paradoxalement un risque de taux dans la mesure où il se traduit

pour l'investisseur par un coût effectif ou un manque à gagner en dépit du respect scrupuleux

des engagements par l'émetteur.

1.1.2.2. Le risque de change

Il traduit le fait qu'une baisse des cours de change peut entraîner une perte de valeur d'avoirs

libellés en devises étrangères. De même, la hausse des taux de change peut entraîner une

hausse de valeur en monnaie nationale d'engagements libellés en devises étrangère sa mesure

du risque de change.

Plusieurs facteurs, généralement macroéconomiques, peuvent être à l'origine du risque de

change comme :

- les variations des cours aussi bien sur le marché domestique qu'à l'étranger ;

- le volume et le sens des flux de marchandises et de capitaux dans un pays ;

- les évènements politiques prévisibles et imprévisibles ;

- les anticipations des agents et les opérations spéculatives sur les devises.




Tous ces facteurs affectent les cours des devises et exposent de ce fait la banque à un risque

de change lequel peut revêtir trois formes : il peut s'agir d'un risque de transaction, de

traduction ou de consolidation. Généralement, on parle de risque de :

- transaction, quand il y a une modification de la rentabilité des opérations libellées en

devises du fait des fluctuations des taux de change ;

- traduction, lorsqu'il s'agit pour un établissement de convertir, il s'agit dans ce cas de

ramener dans les comptes sociaux les résultats générés par une activité en devise ;

- consolidation, lors de la consolidation des comptes d'un groupe ayant des filiales à

l'étranger.

1.1.3. Le risque opérationnel

Dans la pratique, on peut considérer comme réalisation d'un risque opérationnel, tout

événement qui perturbe le déroulement des processus et qui génère des pertes financières ou

une dégradation de l'image de la banque. Cela laisse à croire que les risques opérationnels

sont réalisés essentiellement par: les employés (fraudes, dommages, sabotages,...), le

processus interne de gestion (risque sur opérations, de liquidité,...), le système (risques liés à

l'investissement technologique, violation,...) et par des événements externes (aspects

juridiques, catastrophes naturelles,...).

Plusieurs auteurs ont attribué une définition à la notion du risque opérationnel. Selon King

(2001: 394) le risque opérationnel est le risque qui « ne dépend pas de la façon de financer

une entreprise, mais plutôt de la façon d’opérer son métier » et « le risque opérationnel est le

lien entre l’activité du travail d’une entreprise et la variation de résultat du travail »

Vanini lui (2002 : 3) définit le risque opérationnel comme « le risque de déviation entre le

profit associé à la production d'un service et les attentes de la planification managériale. Le

R.O (risque opérationnel) correspond à l'écart enregistré, positif ou négatif, par rapport au

profit attendu ».

De ces deux définitions nous pourrons définir le risque opérationnel comme le risque de perte

résultant de carences ou de défaillances attribuables à des procédures, personnels et systèmes

internes ou à des événements extérieurs. La définition inclut le risque juridique mais exclut les

risques stratégiques et d'atteinte à la réputation.




Selon Sardi (2002 : 41), le règlement CRBF 97-02 définit le risque opérationnel comme « le

risque résultant d’insuffisances de conception, d’organisation et de mise en œuvre des

procédures d’enregistrement dans le système comptable et plus généralement dans les

systèmes d’information de l’ensemble des évènements relatifs aux opérations de

l’établissement ».

C’est avec l’arrivée des accords de « Bâle2 » que le risque opérationnel est désormais défini

et circonscrit. L'appréciation de la solvabilité bancaire, jusqu'ici mesurée à travers le « ratio

Cooke6 », prend en compte depuis fin 2006 les risques opérationnels, en sus des risques de

crédit et des risques de marché. Ceci se fait à travers un nouveau ratio appelé le « ratio Mc

Donough ».

Ainsi le comité de Bâle 2 définit le risque opérationnel comme « le risque de perte résultant

de carences ou de défaillances attribuables à des procédures, personnes et systèmes internes

ou à des événements extérieures y compris les événements de faible probabilité d’occurrence,

mais à risque de perte élevée. La définition inclut le risque juridique, mais exclut le risque

stratégique et réputationnel ».

Mais notons qu'il faut différencier le risque stratégique du risque opérationnel. Si

l'implémentation des choix stratégiques est la cause directe des pertes assimilable à l'une ou

l'autre des catégories de risque opérationnel, ces pertes seraient de facto considérées comme

des pertes opérationnelles.

En fait le risque stratégique se défini par Mathé (2010 : 26) comme le risque lié aux choix

stratégiques d'une firme pour s'adapter à son environnement concurrentiel. Les choix

stratégiques doivent respecter les attentes des actionnaires et des clients, assurer la croissance

des revenues et l'amélioration de la qualité de ses services et produits.

Il existe aussi des quasis pertes, qui sont des incidents n'ayant aucun impact monétaire sur le

compte de résultats de la banque, mais qui auraient pu avoir lieu, si un événement fortuit ne

6 Le ratio Cooke est un ratio de solvabilité bancaire qui est recommandé par le Comité de Bâle 1. Il permet de fixer la limite de l'encours pondéré des prêts accordés par un établissement financier en fonction des capitaux propres de la banque. Les banques sont tenues de garder un volant de liquidité, de ne pas prêter à long terme, l'équivalent de 8 % de leurs fonds propres afin de faire face aux impondérables : retournement de la conjoncture et augmentation des impayés de la part de ménages moins solvables, retraits soudains aux guichets de la banque.


http://fr.wikipedia.org/wiki/Ratio

http://fr.wikipedia.org/wiki/Solvabilit%C3%A9

http://fr.wikipedia.org/wiki/Banque

http://fr.wikipedia.org/wiki/Comit%C3%A9_de_B%C3%A2le

http://fr.wikipedia.org/wiki/Cr%C3%A9dit

http://fr.wikipedia.org/wiki/Capitaux_propres

http://fr.wikipedia.org/wiki/Capitaux_propres



l'avait pas empêché de se produire (contrôle interne). Et ces dernières ne sont pas intégrer

dans la base de données des pertes au titre du risque opérationnel.

1.2. Les risques opérationnels selon Bâle 2

Le Comité reconnaît que le concept de risque opérationnel prend des significations très

diverses dans la profession bancaire et par conséquent, aux fins du contrôle interne, les

banques peuvent décider d’adopter leur propre définition de ce risque.

Quelle que soit la définition retenue, il est crucial pour une gestion et un contrôle efficaces du

risque opérationnel que les banques en aient une compréhension parfaite.

Il est important aussi que la définition englobe toute la gamme des risques opérationnels

importants qui menacent les banques et prenne en compte les principaux facteurs à l’origine

de lourdes pertes opérationnelles.

1.2.1. Typologie de risques opérationnels selon Bâle 2

Parmi les types d’incidents de nature opérationnelle susceptibles d’occasionner les lourdes

pertes, le Comité en coopération avec la profession en a identifié plusieurs à savoir Cole

(2003 : 2) :

Fraudes internes

Ce sont les pertes dues à des actes visant à frauder, détourner des biens ou à tourner des

règlements, la législation ou la politiques de l'entreprise impliquant au moins une partie

interne à l'entreprises.

Exemples : Transaction non enregistrée intentionnellement, détournement de capitaux,

contrefaçon, informations inexactes sur les positions, vol commis par un employé et délit

d’initié d’un employé opérant pour son propre compte.




Fraudes externes

Ce sont les pertes dues à des actes visant à frauder, détourner des biens ou des règlements de

la législation par 'un tiers.

Exemples : Hold-up, dommages dus au piratage informatique.

Pratiques en matière d'emploi et de sécurité sur le lieu de travail

Ce sont les pertes résultant d'actes non conformes à la législation ou aux conventions relatives

à l'emploi, la santé ou la sécurité, de demandes d'indemnisation ou d'atteinte à l'égalité ou

actes de discrimination.

Exemples : Questions liées aux rémunérations, avantages liés à la résiliation d'un contrat,

activités syndicales, responsabilité civile (chutes...), événements liés à la réglementation sur la

santé et la sécurité du personnel, rémunération du personnel.

Client, produits et pratique commerciales

Ce sont les pertes résultant d'un manquement non intentionnel ou dues à une négligence, à une

obligation professionnelle envers des clients spécifiques, ou conception d'un produit A, vie

privée, vente agressive, opérations fictives, utilisations abusives d’informations.

Exemples : Violation de l’obligation fiduciaire, utilisation frauduleuse d’informations

confidentielles sur la clientèle, opérations boursières malhonnêtes pour le compte de la

banque, blanchiment d’argent et vente de produits non autorisés.

Dommages aux actifs corporels

Ce sont les destructions ou dommages résultant d'une catastrophe naturelle ou d'autre sinistre.

Exemples : Tremblement de terre, cyclone, vandalisme, terrorisme.

Dysfonctionnement de l'activité et des systèmes

Ce sont les pertes résultant du dysfonctionnement de l'activité ou des systèmes.

Exemples : Pannes de matériel et de logiciel informatiques, problèmes de télécommunications

et pannes d’électricité.




Exécution, livraison et gestion des processus

Ce sont les pertes résultant d'un problème dans le traitement d'une transaction ou dans la

gestion des processus ou de relation avec les contreparties commerciales et fournisseurs.

Exemples : Mauvaise communication, erreur de saisie de donnée ou erreur de chargement,

non respect des dates limites, anomalie du système, erreur comptable, non respect des

reporting règlementaires, états externes imprécis, documents légaux manquants ou

incomplets, enregistrement de la clientèle incorrecte, négligence ou dommage aux actifs des

clients, Conflits avec des tiers.

1.2.2. Les composantes du risque opérationnel

Selon la définition communément admise par « Bâle II »7, le risque opérationnel se

décompose en quatre sous ensembles :

Risque opérationnel lié au système d’information

Ce risque peut être lié à une défaillance matérielle suite à l'indisponibilité soit provisoire ou

prolongée des moyens (installations immobilières, matériels, systèmes informatiques ou

dispositifs techniques...) nécessaires à l'accomplissement des transactions habituelles et à

l'exercice de l'activité, pannes informatiques résultant d'une défaillance technique ou d'un acte

de malveillance, une panne d'un réseau externe de télétransmission, un système de

négociation ou de règlement de place en défaut ou débordé, bug du logiciel et obsolescence

des technologies (matériel, langages de programmation...)

Risque opérationnel lié au processus

Ce risque est du au non respect des procédures; aux erreurs provenant de l'enregistrement des

opérations, la saisie, les rapprochements et les confirmations tels que: un double encaissement

de chèque, un crédit porté au compte d'un tiers et non du bénéficiaire, le versement du

montant d'un crédit avant la prise effective de la garantie prévue, le dépassement des limites et

autorisations pour la réalisation d'une opération, etc.

7 http://www.amrae.fr/docs/MR/rencontres/nice-2004/actes/a29/a29doccommun.pdf


http://www.amrae.fr/docs/MR/rencontres/nice-2004/actes/a29/a29doccommun.pdf



Risque opérationnel lié aux personnes

Ce risque est nait du fait que les exigences attendues des moyens humains (exigence de

compétence et de disponibilité, exigence de déontologie...) ne sont pas satisfaites, peut être lié

à l'absentéisme, la fraude, l'incapacité de prendre la relève sur les postes clés. Ce risque peut

être involontaire ou naitre d'une intention délibérée, résultant souvent d'une intention

frauduleuse.

Les «erreurs involontaires» sont souvent couteuses, leur prévention comme leur détection

précoce dépendent de la qualité du personnel, de sa vigilance, comme de ses capacités

d'adaptation aux évolutions techniques mais aussi de la technicité des opérations à traiter et de

la qualité du matériel et de la logistique utilisés.

Quant au «risque volontaire», il va de la simple inobservation des règles de prudence, du

conflit d'intérêts entre opérations pour son propre compte et opérations pour le compte de

l'établissement ou du client, jusqu'à la malveillance et la réalisation d'opérations carrément

frauduleuses.

Risque opérationnel lié aux évènements extérieurs

C’est un risque dont l’origine peut provenir d’un risque politique, d’une catastrophe naturelle,

d’un environnement règlementaire.

Les banques reçoivent des capitaux placés sur des comptes, échange de la monnaie, prête de

l’argent à des taux et moyennant des commissions variables, exécute pour le compte de tiers

toutes opérations de ce genre et se charge de tous services financiers. Dans le déroulement de

leurs activités, les banques sont confrontées à divers risques dont il importe d’assurer la

maitrise.

Nous ne saurions présenter les risques opérationnels, sans au préalable savoir s’ils font partie

des risques majeurs bancaires et ce que la notion du risque opérationnel englobe.




CHAPITRE 2 : LE DISPOSITIF DE GESTION ET DE PILOTAGE DES RISQUES

OPERATIONNELS DANS LE SECTEUR BANCAIRE

Craig Churchill et Dan Coster (2001 :2) désignent la gestion du risque comme étant « la

prévention des problèmes potentiels et la détection anticipée des problèmes réels quand ceux-

ci arrivent ». C’est pour cela que ces auteurs conçoivent la gestion des risques comme un

processus sous trois étapes à savoir :

- l’identification des vulnérabilités présentes et à venir ;

- création et mise en œuvre de contrôles pour atténuer les risques (mesurer les risques) ;

- et le suivi de la fonctionnalité et de l’efficacité de ces contrôles (maitrise des risques).

Toutes les institutions financières, et les banques en général, sont constamment confrontées à

des risques auxquels elles doivent faire face sous peines de pertes financières. Il est important

pour ses banques, de mettre en place des systèmes de gestion des risques, qui leurs font

connaitre des pertes financières.

Pour Oldfield et Santommero (1997 : 37), trois stratégies permettent aux institutions

financières d’atténuer l’impact des risques sur leur performance : une gestion passive

comprenant la diversification du portefeuille mise en évidence par la théorie du portefeuille,

le transfert des risques et une gestion active des risques lorsque l’organisation choisie

d’internaliser la gestion des risques.

Mais le dispositif proposé par Oldfied et Santomero assume l’hypothèse d’une relation

positive entre le risque et la rentabilité. Ce qui n’est pas le cas pour le risque opérationnel et

d’après (Jimenez et Merlier, 2004 : 10), il est plutôt destructeur de richesse.

En effet ce dernier, de manière directe ou indirecte, a un impact significatif sur les banques

d’où l’importance de la bonne gestion et maitrise de ce risque.

Ainsi, nous consacrerons ce chapitre à la compréhension du processus de gestion du risque

opérationnel et pour ce faire, nous verrons d’abord les différents outils d’identification et de

mesure utilisée pour la gestion du risque opérationnel, ensuite nous verrons les approches de

mesure du risque opérationnel.




2.1. Objectifs de la gestion du risque opérationnel

La gestion des risques en entreprise permet en premier lieu de diminuer les pertes associées

aux opérations par l’établissement de normes de qualité, de politiques et de procédures de

travail. Par une intervention rapide, la résolution des incidents et la transmission

d’information se fait de façon pertinente et ce, au bénéfice de la société et de sa réputation.

Celle-ci sert aussi de diapason dans la prévision des tendances afin de déterminer les

orientations futures de l’organisation.

Cependant les organisations, particulièrement les banques ont également compris, que se

doter d’un processus de gestion des risques opérationnels pouvait être une partie intégrante

de leur planification stratégique de développement des affaires.

En effet ce processus se traduit par la mise en place de méthodes de contrôle des activités

quotidiennes, la collecte d’information contemporaine et la rapidité d’intervention. Pour être

efficace, la gestion du risque opérationnel se doit de relier et d’être liée à toutes les sphères de

l’entreprise.

Donc les banques, étant plus confrontées aux risques opérationnels, doivent se doter de

politiques, de processus et de procédures dans l’objectif de mieux maîtriser et/ou atténuer les

sources importantes des risques opérationnels. Elles doivent réexaminer périodiquement leurs

stratégies de limitation et de maîtrise des risques et ajuster leur profil de risque opérationnel,

en conséquence, par l'utilisation de stratégies appropriées.

2.2. Bâle 2 et la gestion des risques opérationnels

Pour la supervision bancaire, le Comité de Bâle a promulgué en juin 2004 un nouveau

dispositif sous le vocable de « International Convergence Of Capital Measurement and

Capital Standards ». La révision qui a commencée en 1999 vise seulement à combler les

lacunes de Bâle I et à adapter les directives au nouveau contexte des mutations intervenues sur

les marchés financiers.

En effet, la réforme vise à renforcer la solidité et la stabilité du système bancaire par une

gestion plus fine des risques. « En entreprenant la révision de l’Accord de 1988, le Comité

avait pour objectif de mettre au point un dispositif permettant de renforcer la solidité et la

stabilité du système bancaire international, tout en continuant d’assurer un degré suffisant


http://www.asclcp.fnsea.fr/sites/asi/actualites/je_veux_analyser_mes_resultats/081020gestionrisques.aspx

http://www.pwc.be/fr/systems-process-assurance/operational-risk-management.jhtml

http://fr.wikipedia.org/wiki/Gestion_du_risque



d’harmonisation afin d’éviter que les règles relatives à l’adéquation des fonds propres

deviennent un facteur sensible d’inégalité concurrentielle entre banques internationales »

(BCBS, 2006 : 16). La finalité est aussi une segmentation plus fine de la clientèle et une plus

forte différenciation en fonction des risques réels encourus, en clair, l’adoption de pratiques

de gestion plus rigoureuses par les banques. Il vise aussi un renforcement de la

communication financière et un dialogue plus structuré avec les régulateurs.

Figure 1 : Les trois piliers des accords de bâle 28

Source : Convention de Bâle

Le comité de Bâle exige des banques une mesure et une couverture de leurs risques

opérationnels aussi fiables que celles de leurs risques de crédit et de marché, par le

développement de meilleurs pratiques et la mise en place d'une exigence de fonds propres.

8 Bâle II et les risques opérationnels http://www.amrae.fr/docs/MR/rencontres/nice-

2004/actes/a29/a29doccommun.pdf

Bâle 2

Capital minimum requis

Etablir le besoin en capital Couvrir les risques opérationnels, de crédit, de marché Plusieurs approches possibles Déclaration des charges du capital ajusté

Supervision règlementaire

Présenter des processus de gestion du risque pour justifier le montant du capital Le régulateur valide la méthodologie utilisée Le régulateur intervient en cas de détérioration du niveau du capital

Communication vers le marché

Améliorer l’information sur : La structure

du capital La mesure et

le profil du risque

La gestion du risque

Le capital affecté

PILIER 1 PILIER 2 PILIER 3






Selon les recommandations de Bâle 2, la notion de « Gestion du risque opérationnel » est en

rapport avec le calcul des fonds propres règlementaires. A l'évaluation des risques de marché

et de crédit, utilisés par le ratio Cooke pour la détermination des fonds propres obligatoires, le

ratio Mc Donough ajoute le risque opérationnel, pour lequel il faut prévoir une charge en

capital spécifique (% en fonds propres).

Les régulateurs veulent que les établissements bancaires prennent en compte cette notion de

risque opérationnel : un établissement pourrait en effet être défaillant pour des raisons non

liées au risque de marché ou au risque de crédit. Chaque établissement devra donc

communiquer sur ses profils et ses dispositifs de maitrise du risque.

Pour une banque, il s'agit de minimiser le capital risque règlementaire en identifiant,

maîtrisant et contrôlant le risque opérationnel pour les petites pertes fréquentes et pas

seulement pour les grosses pertes potentielles. L'objectif est donc de recenser les évènements

liés à des pertes réelles ou potentielles, internes ou externes, qui créent des incidents avec des

impacts légers ou des fréquences importantes.

Les règles de Bâle 2 définissent des méthodes avec lesquelles les institutions financières

peuvent mesurer leurs risques. Les risques mesurés forment la base de calcul du montant des

fonds propres que l'institution doit mettre en réserve pour couvrir les pertes potentielles.

Pour évaluer l'exposition d'un établissement bancaire aux risques opérationnels, le Comité de

Bâle propose trois approches par ordre croissant de sophistication, de complexité et de

sensibilité aux risques.

2.2.1. L’approche indicateur de base (Basic Indicator Approach BIA)

L’approche Indicateur de Base est applicable à toute banque. Il n’y a aucune condition

particulière à remplir en matière de normes de gestion, hormis les recommandations figurant

dans les « Sound Pratices for the mangement and supervision of Operational Risk » (2003).

Simple à mettre en œuvre, cette approche nécessite souvent la plus forte mobilisation en fonds

propres.

L’exigence de fonds propres pour les banques utilisant l’approche de base est un pourcentage

fixe, dénoté alpha, de la moyenne annuelle des trois dernières années du revenu brut positif.




Elle consiste en un calcul forfaitaire (α9 = 15 %) des exigences de capital règlementaire

(KBIA), sur la base du produit net bancaire (PNB) moyen des trois derniers exercices on

l’obtient grâce à la formule suivante : KBIA = α *PNB

2.2.2. L’ approche standard (Standardised Approach STA)

L’approche standard est applicable sous conditions particulières définies dans le document

« International Convergence of capital Measurements and Capital Standards » (2004). Les

activités caractérisant les centres de profits sont définies par les régulateurs nationaux.

Pour réaliser cette approche, la banque doit :

- réaliser une approche dite « Bottom-up » des produits, des activités, des processus, des

systèmes, et des événements externes. Cette analyse (cartographie des risques) doit

être revue régulièrement ;

- analyser le risque de faillite en étudiant les pertes peu fréquentes et faibles ;

- mettre en place les limites et gérer les cas où le processus et les contrôles internes ne

sont pas suivis ;

- établir un système de reporting qui doit définir les procédures en fonction des

informations contenues dans le rapport interne et communiquer sur ce risque à

l’intérieur de la banque ;

- intégrer la gestion de ce risque dans sa gestion quotidienne en créant une incitation à la

bonne gestion et utiliser des assurances si nécessaires ;

- rechercher systématiquement et traquer les risques par ligne d’activité.

Les activités de la banque sont réparties en huit lignes d’activités. Les revenus bruts sont un

indicateur de l’activité donc du risque opérationnel. La relation entre l’expérience de perte

due au risque opérationnel et les revenus bruts pour chaque activité est exprimée par Béta.

Elle consiste, pour chaque ligne de métiers de la banque, en un calcul forfaitaire (β10 = 12 % à

18 %, selon les huit lignes11 des exigences de capital règlementaire (KSTA), sur la base du

9 Alpha (α) représente les exigences en fonds propres du revenu brut annuel moyen des trois derniers exercices 10 béta (β) représente le coefficient du revenu brut moyen du PNB de chaque ligne de métier sur les trois derniers exercices 11 Voir tableaux lignes métiers




PNB moyen enregistré sur ces lignes de métier au cours des trois derniers exercices, la

formule est la suivante KSTA = Σ (β * PNB)

Tableau 1 : Tableau des lignes métier

Lignes métier β

Financement des entreprises 18%

Négociation et vente institutionnelle 18%

Courtage de détail 12%

Banque commerciale 15%

Banque de détail 12%

Paiement et règlement 18%

Services d’agence 15%

Gestion d’actifs 12%

Source : référentiel sur la gestion du risque opérationnel de la Société Générale (2010 : 11)

2.2.3. L’approche par méthode avancée (Advanced Measurement Approach AMA)

Cette méthode, est la plus utilisée par les établissements de crédit de nos jours avec la prise en

compte des risques opérationnels. Sous l’approche AMA, l’exigence de fonds propres est

générée par le système de mesure interne du risque opérationnel de la banque. Cette approche

nécessite l’autorisation de l’autorité de supervision. Elle consiste en un calcul des exigences

de capital règlementaire s'appuyant sur le(s) modèle(s) interne(s) de mesure des risques

opérationnels développé(s) par la banque et validé(s) par l'autorité de contrôle.

Elle repose sur un système de mesure du risque opérationnel propre à chaque banque.

L’adoption de cette approche suppose que la banque soit en mesure d’élaborer des modèles

appropriés et qu’elle dispose de statistiques fiables pour alimenter ces modèles. Mais aussi

elle nécessite, outre le respect des conditions de l'approche standardisée, le respect de deux

exigences supplémentaires qui portent sur le contrôle effectif et sur la mesure des risques

opérationnels. Les exigences sont précises et visent à vérifier que la gestion interne du risque

opérationnel est réelle et que la modélisation est fiable, prédictible et solide.

- la première exigence impose la mise en place d'un dispositif de contrôle et de gestion

des risques opérationnels validé par le service d'audit interne ;




- la seconde impose la mise en place de systèmes d'identification des risques

opérationnels et de recensements des données pertinentes par catégorie d'activité. Elle

exige une estimation des valeurs d’EI (indicateur d'exposition), PE (probabilité de

l'évènement sur un horizon donné), et LGE (perte moyenne suite à l'évènement) basée

sur un historique suffisant de pertes.

Des normes permettant la correspondance entre les métiers des établissements et la typologie

prévue par le comité de Bâle devront être élaborées. Les banques qui utilisent cette approche

doivent estimer la charge en capital qui en résulte l'année qui précède sa mise en place. Une

période probatoire peut être exigée par le superviseur national. Les évènements susceptibles

d'entrainer des pertes opérationnelles sont précisément détaillés par la règlementation. Il s'agit

de garantir que la gestion interne du risque opérationnel est réelle et que les modèles élaborées

sont fiables.

La possibilité d’utiliser la méthode AMA est soumise à la constitution d’un historique de

données de cinq ans (trois ans au moment du démarrage). Cette méthode impose la mise en

œuvre des meilleures pratiques de gestion des risques opérationnels, ainsi que la construction

d’un modèle interne de calcul des fonds propres sur la base d’historiques de pertes et

d’analyses de scénarios tenant compte de la qualité des mesures de prévention et de contrôle.

Il existe trois méthodes AMA, l'approche par tableaux de bord (scorecard approach),

l'approche par mesure interne (internal measurement approch) et l'approche LDA (loss

distribution approach).

2.2.3.1. L’approche par tableaux de bord (scorecard approach)

L'approche par tableau de bord utilise les causes des pertes pour prédire les montants des

pertes. Ces causes sont synthétisées en un score.

2.2.3.2. L’approche en mesure interne (internal measurement approach)

L'approche en mesure interne (IMA) calcul le capital nécessaire en supposant une relation

entre les pertes attendues (EL) et pertes inattendues (UL). Les pertes attendues sont alors

multipliées par un facteur d'échelle pour obtenir les pertes inattendues.




2.2.3.3. L’approche LDA (loss distribution approach)

L'approche LDA est plus sophistiquée. Elle estime directement le capital nécessaire en

plusieurs étapes. La fréquence des pertes et la sévérité de ces mêmes pertes sont estimées

séparément par deux distributions statistiques.

2.3. Gestion des risques opérationnels : identification, mesure et maitrise des risques

opérationnels

En faisant une consolidation de quatre démarches de gestion des risques opérationnels

proposés par divers auteurs et de domaines d’activités différentes, nous avons aboutit à un

référentiel qui tient compte de la méthodologie adoptée par le comité de Bale 2, du processus

de gestion des risques opérationnels suivi par la SGBS et des étapes du dispositif proposée par

différents auteurs comme les consultants DES MARAIS & al (2004 :15-27) et les auteurs (

JIMENEZ & al, ( 2008 : 177-119).

Tableau 2 : Résumé des étapes de la gestion du risque opérationnel bancaire

Auteurs Etapes dispositif

Comité de Bale 2

SGBS DES MARAIS & al (2004 :15-

27)

JIMENEZ & al (2008 : 177-119).

Cadrage du risque opérationnel X X Gouvernance et organisation de la fonction gestion des risques opérationnels

X X

Auto-évaluation des RO X X X X Mise en œuvre et suivi de la base d’incidents X X X Définitions et analyse des indicateurs clés de risques

X X X X

Etablissement des Scorecard pour transformer les indications qualitatives en mesures quantitatives

X X

Dispositif d’alerte X X X Conception d’un tableau de bord «risque opérationnel » pour le pilotage

X X X X

Reporting des « risques opérationnels » X X X X Etablissement des plans de continuité de l’activité

X X X

Source : Nous même à partir de Comité de Bale 2 (2011), DES MARAIS & al (2004 :15-27)

et JIMENEZ & al (2008 : 177-119).




Une fois le périmètre du risque opérationnel bien défini, il ya lieu d'identifier les évènements

relatifs à ce risque et pour atteindre cet objectif il faut disposer des outils adéquats.

2.3.1. Identification et mesure des risques opérationnels

L'identification du risque est primordiale pour développer un contrôle et un suivi fiable du

risque opérationnel.

Pour pouvoir mettre en place un système fiable de gestion du risque opérationnel, il est tout

d'abord nécessaire, d'identifier les facteurs du risque opérationnel que se soit des facteurs

interne (la structure de la banque, nature de ses activités, la qualité de ses ressources

humaines, les modifications de l'organisation et le taux de rotation du personnel) ou externes

(comme les évolutions du secteur bancaire et les progrès technologiques) et qui pourraient

empêcher la banque d'atteindre ses objectifs (B.A. Aubert, J.G Bernard ; 2004 :76).

En fait l'identification des évènements de risque suit une démarche structurée, basée sur la

compréhension et l'analyse des processus opérationnels de la banque, de ces produits et de ses

systèmes.

Le comité de Bâle 2 a proposé des outils que la banque peut utiliser afin d'identifier et évaluer

le risque opérationnel. :

2.3.1.1. Cartographie des risques

La cartographie des risques permet de définir de manière approfondie les impacts potentiels

du risque, les facteurs qui déclenchent la survenance du risque ainsi que les facteurs qui

déterminent l'envergure du dommage. Nous utilisons une méthodologie rigoureuse de

cartographie des risques afin d'identifier les risques potentiels ainsi que les facteurs

déterminants.

Cartographier les risques pour déterminer le profil de risque de la banque. Cette phase est une

étape clé, car elle détermine sensiblement la nature des incidents qui seront collectés et donc

suivis par la suite (revue n°108 à 111 : 2003)12. C'est également cet exercice qui permettra de

12 L’expansion management review




définir une nomenclature des risques valable pour l'ensemble de l'organisation, cadre

indispensable à une collecte efficace et homogène des incidents (risk opérationel solvency 2 ;

2008). Cet exercice passe par plusieurs phases :

- décomposer en activités chaque processus supportant des risques opérationnels : Cette étape

consiste à diviser les différents processus élémentaires de la banque en sous processus, voire

d'affiner cette division en dressant une liste des différents fonctions au sein de chaque

département de la banque ;

- pour chaque activité, recenser les risques associés, faire l'inventaire des différents facteurs du

risque opérationnel auxquels les métiers de la banque peuvent être exposés (recensement des

litiges clients, des pertes financières dues à des dédommagements, des rectifications d'erreurs,

des discontinuités de services, des délais anormaux de traitement d'opérations clientèles...) ;

- pour chaque risque, coter les pertes et leur probabilité d'occurrence : Chaque évènement de

risque est évalué en terme de probabilité d'occurrence (c'est la détermination de fréquence

d'évènements générateurs de pertes opérationnelles, la fréquence peut être modélisé grâce a

un modèle statique et en perte encourue en cas de réalisation (c'est l'impact de la perte qui

s'est produite c'est la dimension de sévérité de la perte) ;

- élaborer la matrice les risques sur les axes fréquence et préjudice : il s'agit d'un graphe à deux

dimension, la sévérité et la fréquence. La matrice est divisée en zones selon le niveau de

risque et la nécessité des contrôles ;

- déterminer «visuellement», à partir de matrice, les risques significatifs (c'est à dire ceux que

l'on décide de recueillir dans l'outil de collecte).

Il s'agit d'un processus dans lequel des fonctions organisationnelles par exemple sont portées

sur une carte par type de risque, ce processus peut relever des zones de faiblesses et aider à

prioriser les actions de gestion subséquent. C'est le fait de classer par ordre d'importance la

vulnérabilité et ensuite analyser les situations à risque, pour cela l'analyse du risque s'appuie

sur deux variables : gravité et fréquence.

La cartographie des risques se décline en quatre grandes catégories :

- risques de fréquence et de gravité faibles : Ce sont des risques qui se réalisent

rarement et dont l'impact est limité même s'ils se réalisent. L'organisation peut vivre

avec ces risques, nous parlerons de risques mineurs ;




- risques de fréquence faible et de gravité élevée : ce sont des évènements qui se

produisent rarement mais dont les conséquences sont significatives lorsqu'ils se

produisent. En raison de leur faible fréquence il est difficile de prévoir et d'anticiper

leur survenance. La concrétisation du risque entraine des conséquences pouvant

affecter sérieusement l'activité de l'organisation, le redémarrage nécessite l'injection de

capitaux extérieurs. Cette deuxième catégorie et dénommée risques catastrophiques ;

- risque de fréquence élevée et de gravité faible : ces évènements se produisent assez

régulièrement mais leurs conséquence sont relativement faibles, le risque est

généralement prévisible, cette catégorie peut être dénommé risque opérationnel ;

- Risques de fréquence et de gravité élevée : les évènements se produisent régulièrement

et leurs conséquences sont à chaque fois significatives. Dans la majorité des cas le

décideur abandonne le projet à moins que le projet soit primordial pour le

développement de l'organisation. On parle alors de situation d'évitement ;

L'identification ne doit pas concerner que les risques les plus dangereux mais aussi d'évaluer

leur vulnérabilité à ces risques. La conception d'une cartographie de risque est un travail

complexe et délicat est nécessite l'effort pour la collecte des données interne et la constitution

d'une base de donné des pertes recensés, ainsi que sa mise à jour est indispensable pour le

suivi de l'évolution des risques et la prise en considération des nouveaux risques.

2.3.1.2. Les indicateurs de risque

La cartographie représente un support de base pour la mise en place des indicateurs de risque,

de types statistiques et souvent financiers, ils fournissent un aperçu de la position de la banque

relativement au risque, ils sont revus périodiquement.

Les indicateurs de risque sont en effet de deux types, des indicateurs-clés de risque KRI13

(key risks indicators) spécifiques à chaque activité et constituent des indices de perte ou des

dangers à venir et d'autre part on a les indicateurs-clés de performances KPI (key performance

indicators) qui constituent des mesures d'évaluation de la qualité d'une activité.

13 Un indicateur clé de risques est une donnée objective et mesurable devant permettre d’évaluer un ou plusieurs

risques et ainsi d’améliorer leur pilotage. Le suivi des KRI a pour but de permettre une gestion proactive et

prospective des risques. Les KRI alertent en amont sur le risque de pertes opérationnelles à venir, en exprimant

régulièrement la tendance et ses évolutions.




Chaque activité disposera de son propre ensemble d'indicateurs, spécifique à la nature des

taches effectuées, au mode d'organisation des fonctions, au niveau d'automatisation des

opérations, au niveau des flux financiers impliqués ou de la législation en vigueurs.

Notons qu’il n'existe pas de liste standard d'indicateurs de risque et de performances pour

l'ensemble des institutions bancaires. On peut citer les indicateurs de risque suivants :

- les Ressources Humaines : rotation du personnel, pourcentage d'employés

intérimaires, plaintes de la clientèle ...

- le Système : interruption du système, tentative d'intrusion informatique...

- Traitement et procédures : corrections d'écritures, plaintes et contestations...

- les indicateurs d'alerte, liés aux facteurs de risque : volumétrie, turnover des équipes,...

- les indicateurs de risques avérés, liés aux conséquences : nombre d'erreurs, de sinistres

ou de litiges, durés d'indisponibilité des systèmes, nombre de tentatives d'intrusion,

d'incidents ...

- les indicateurs de coûts/ressources : le niveau de ressources allouées au contrôle des

risques opérationnels (budget "sécurité", les indicateurs de pertes, pertes financières

liées aux incidents, aux erreurs, dédommagements clientèle...).

2.3.1.3. Le self-assessment (auto-évaluation ou évaluation du risque)

La banque évalue ses opérations et activités à l'égard de vulnérabilités potentielle en termes de

risque opérationnel. La cartographie des risques est une nécessitée pour réussir le mécanisme

de l'autoévaluation. Ce processus est mener en interne et comporte souvent des check listes et

ou des work shops afin d'identifier les forces et les faiblesses de l'environnement du risque

opérationnel. Le self-assesment utilise la technique de scorecard. A titre d'exemples les

scorecards permettent de transformer des évaluations qualitatives en mesures quantitatives qui

donnent un classement relatif de différents types d'exploitation au risque opérationnel.

En outre, les scorecards peuvent être utilisées par les banques afin d'allouer du capital

économique à leurs lignes de métier en relation avec la performance à gérer et contrôler divers

aspects du risque opérationnel. L'autoévaluation représente un outil de maitrise du risque qui

est conditionné à sa couverture.




En fait, sur la base de données exhaustive et pertinente, les banques auront la possibilité de

mesurer leur exposition aux risques opérationnels, prévenir leurs ampleurs et le cas échéant

décider du montant de la couverture qui sera allouée.

2.3.2. Moyens de maitrise des risques opérationnels

Selon le Comité de Bâle « Les banques devraient adopter des politiques, processus et

procédures pour maîtriser et/ou atténuer les sources importantes de risque opérationnel. Elles

devraient réexaminer périodiquement leurs stratégies de limitation et de maîtrise du risque et

ajuster leur profil de risque opérationnel en conséquence par l'utilisation de stratégies

appropriées, compte tenu de leur appétit pour le risque et de leur profil de risque globaux. »

Face au risque opérationnel plusieurs actions peuvent être prises :

- accepter ;

- supprimer l’activité porteuse de risque ;

- s’assurer contre le risque supposé ;

- tester des alternatives ;

- élaborer un plan de secours.

En effet, pour tous les risques opérationnels qui ont été identifié, la banque devrait pouvoir

décider si elle dispose des procédures appropriées pour contrôler et/ou atténuer les risques, ou

si elle supporte ces risques. Pour les risques qui ne peuvent pas être contrôlé, la banque

devrait décider si elle accepte ces risques (faire recours à l'assurance), si elle réduit le niveau

d'activité économique impliquée, ou si elle se retire complètement de cette activité. Pour cela

on doit disposer de processus et procédures de contrôle et d'un système assurant la conformité

des opérations à un ensemble de politique interne dument documenté concernant la gestion du

risque.

Le renforcement du système de contrôle est un élément clé pour la maitrise du risque donc il

semble logique, la mise en place d'un système de contrôle interne.




2.3.2.1. L’audit interne

L'audit interne consacre l'essentiel de ses missions, à vérifier que ces procédures sont à jour et

que les opérationnels les ont comprises et les appliquent totalement, au quotidien, d'où une

nouvelle organisation de la gestion des risques opérationnels par l'audit interne.

L'audit interne est une activité indépendante et objective qui donne à une organisation une

assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les

améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses

objectifs en évaluant, par une approche systématique et méthodique, ses processus de

management des risques, de contrôle, de gouvernement d'entreprise, et en faisant des

propositions pour renforcer leur efficacité.

D'un point de vue général, l'audit interne intervient sur les domaines suivants :

- l'examen et l'évaluation de l'efficacité des dispositifs de contrôle interne ;

- le contrôle de l'application et de l'efficacité des procédures de management du risque

et méthodes de mesure de risque ;

- le contrôle de la sincérité et de la fiabilité des enregistrements comptables et des

rapports financiers ;

- le contrôle des moyens de sauvegarde des actifs ;

- le contrôle du système de mesure de risque par rapport aux fonds propres ;

- les tests à la fois sur les opérations et le fonctionnement des procédures spécifiques de

contrôle interne ;

- le contrôle des dispositifs mis en place pour s'assurer qu'ils sont conformes aux

exigences légales et règlementaires, aux codes de conduite, et à la mise en œuvre des

politiques et procédures ;

- le contrôle de la sincérité, de la fiabilité et de l'opportunité des reportings

règlementaires.

L'audit interne dans les banques évolue vers un rôle d'acteur de premier plan, en charge en

particulier de la conduite du changement et de la gestion des risques. Toutefois le respect de

certains principes conditionne le succès de ses missions.




Principes et fonctions de l'audit interne

Voici, quelques principes de base pour la fonction Audit Interne :

- le service d'Audit Interne doit être en mesure d'exercer sa mission de sa propre

initiative dans tous les services, les établissements et les fonctions de la banque. Il doit

être libre de faire un rapport sur ses résultats et évaluations et de les communiquer en

interne. Le principe d'indépendance implique le rattachement du service audit interne,

soit au président de la banque, soit au conseil d'administration, soit à son comité

d'audit ;

- toutes les banques devraient disposer d'une charte d'audit qui mette en valeur le statut

de l'autorité de la fonction d'audit interne au sein de l'établissement de crédit. Ceci

revient à fixer les objectifs et le champ d'intervention de l'audit interne, ses positions

dans l'organisation, et la responsabilité du responsable de l'audit interne ;

- la fonction d'audit interne doit être objective et impartiale, ce qui signifie que l'audit

doit pouvoir effectuer ses missions sans préjugé et sans subir de pression. Pour être

objectif et impartial le service d'audit interne doit-lui même chercher à éviter tout

conflit d'intérêt. A cette fin les missions d'auditeurs doivent changer périodiquement

chaque fois que c'est possible ;

- le service d'audit interne doit se préoccuper des dispositions légales et règlementaires

qui régissent les opérations de la banque, les politiques principes, règles, lignes de

conduite interne édictées par les autorités de tutelle relatives à l'organisation et à la

gestion des banques. Cependant cela ne signifie pas que l'audit interne doit assumer les

fonctions de contrôle de la conformité ;

- le service de l'audit interne doit évaluer en particulier, la conformité de la banque à la

règlementation et aux contrôles des risques (quantifiables et non quantifiables), la

fiabilité y compris (l'intégrité, l'exactitude et l'exhaustivité) ainsi que la disponibilité

en temps opportun de l'information financière et de celle destinée au management, la

continuité et la fiabilité des systèmes d'information et l'organisation des services.

Certains établissements ont mené une réflexion pour mettre en place des programmes d'auto

évaluation du risque opérationnel.




L’auto évaluation du risque opérationnel, est réalisée au niveau des contrôles de 1er niveau.

Elle consiste en l'examen et l'évaluation de l'efficacité du contrôle interne et a pour objectif

d'anticiper la dégradation d'un contrôle. La mise en œuvre de ce processus passe par les étapes

suivantes :

- l'identification exhaustive préalable des dysfonctionnements potentiels (erreurs,

irrégularités, fraudes) imputables au risque administratif et de leur source ;

- le recensement des faiblesses existantes de contrôle interne ;

- l'élaboration d'un programme d'auto évaluation du dispositif de contrôle.

Un programme d'auto évaluation du dispositif de contrôle comprend d'une part, l'élaboration

et la mise en œuvre de check-lists de contrôles que doivent remplir les opérationnels et qui

leur rappellent les étapes essentielles à suivre et d'autre part, la définition d'indicateurs de

contrôles clés tant au plan qualitatif que quantitatif.

Enfin une fois que l'objectif du suivi régulier de la qualité des contrôles effectués et évalués

par les opérationnels est atteint, sa valeur ajoutée réside dans sa capacité à :

- présenter à la direction générale et au comité d'audit une cartographie complète et

actualisée des risques ;

- piloter l'ensemble des dispositifs de contrôles définis à partir des risques clés ;

- améliorer en continu ce dispositif sur la base des meilleures pratiques du secteur et des

missions réalisées à partir d'un processus qualitatif de clignotants ;

- promouvoir la culture du contrôle interne à tous les échelons de l'organisation.

Par ailleurs la COSO 2 (Comittee of Sponsoring Organizations of the Treadway Commission)

apporte un certain nombre d’éléments nouveaux qui confirment le passage du contrôle interne

au contrôle des risques.

Si l’on suit les référentiels mis en œuvre par le COSO, le contrôle des risques prend la suite

du contrôle interne :

- le référentiel initial de 1992 (COSO 1) visait explicitement le contrôle interne :

«Internal control–Integrated Framework» ;

- la version mise en place en 2002 (COSO 2) établissait un dispositif de référence pour

la gestion des risques : « Entreprise Risk Management Framework ».




Selon le principe COSO 2 de traitement des risques, les entités développent différentes

stratégies qui les exposent à différents risques «Le management définit des solutions

permettant de faire face aux risques : évitement, acceptation, réduction ou partage. Pour ce

faire le management élabore un ensemble de mesures permettant de mettre en adéquation le

niveau des risques avec le seuil de tolérance et l’appétence pour le risque de l'organisation»14

2.3.2.2. Autres pratiques internes pour maitriser le risque opérationnel

Le comité prévoit d’autres pratiques internes afin de maitriser le risque opérationnel (Saines

pratiques pour la gestion et la surveillance du risque opérationnel ; 2003) :

- la surveillance étroite du respect des limites de risque ou des seuils assignés

- la mise en place des mesures de protection pour l'accès et l'utilisation des actifs et des

informations de la banque.

- s'assurer que le personnel à l'expertise et la formation adaptées et veuilles a une mise a

jour.

- vérification et rapprochement réguliers des transactions et des comptes.

- l'identification des branches ou des produits de l'activité dont les résultats semblent

être en dehors des attentes raisonnables.

- s'assurer que l'infrastructure du contrôle de gestion des risques suit la croissance de

l'activité.

2.3.3. Les techniques d'atténuation du risque opérationnel

En matière de maîtrise du risque opérationnel de faibles probabilités mais ayant un impact

financier très lourd, peuvent faire opter pour d'autres techniques d'atténuation et de transfert

de risques, par exemple, l'intermédiaire des polices d'assurances contre des évènements

externes de risques tels que les incendies, les tempêtes....ou par la signature des contrats plus

spécifiques et personnalisés contre le risque opérationnel, qui y sont proposés pour se

prémunir contre des menaces internes de risques tel que les fraudes ou les défaillances dans

un système informatique ( M. Bazetoux ; D. Dechet 2006 : 147-156).

14 Le management des risques de l'entreprise : Cadre de Référence COSO 2002




L'externalisation de certaines activités peut réduire le profil de risque d'un établissement en

transférant certaines activités spécialisées à des entreprises qui ont plus d'expertise et

d'envergure pour gérer les risques qui y sont associés.

Il convient aussi d'examiner soigneusement dans quelle mesure les instruments d'atténuation

comme l'assurance et l'externalisation réduisent vraiment le risque, ou le transfèrent à un autre

secteur ou domaine d'activité, voire s'ils ne créent pas un nouveau risque (par exemple, risque

juridique ou risque de contrepartie).

L'investissement en technologie de traitement de l'information peut également apparaitre

comme un dispositif d'atténuation du risque. En fait un bon système d'information fiable et

sécurisant est un élément clé pour la gestion et maitrise du risque du fait que l'informatique et

les processus de traitement et d'acheminement de l'information sont des sources potentielles et

non négligeable du risque opérationnel.

2.3.4. Les plans de continuité d'exploitation

Selon le comité de Bale « Les banques devraient mettre en place des plans de secours et de

continuité d'exploitation pour garantir un fonctionnement sans interruption et limiter les pertes

en cas de perturbation grave de l'activité ».

Les plans de secours d'exploitation se sont basés, pour leur rédaction, sur des listes de

fonctions prioritaires, classées en fonction des risques financiers, légaux et commerciaux

potentiels induits par une interruption des opérations. Une organisation de secours cible est

alors été mise sur pied, en même temps que des lieux et des systèmes de backup alternatifs.

En règle générale, en raison des coûts associés à une telle procédure d'urgence, des tests sont

exécutés de manière aléatoire. Il n'y a donc aucune certitude quant au bon fonctionnement des

ces procédures d'urgence, dans le mesure où les interdépendances n'ont pas été vérifiées,

l'élaboration de cas virtuels autour des mesures d'urgence pourrait s'avérer extrêmement

intéressante.

L’ampleur des risques opérationnels est de plus en plus croissante et leur gestion inévitables

pour les banques, d’où la nécessité de mettre en place un dispositif adéquat. A travers ce

chapitre, nous avons étudié le dispositif à mettre en place pour la maîtrise des risques

opérationnels en général par les banques ainsi que les outils pratiques pour une meilleure




gestion de ces risques. La prise de connaissance du processus de gestion des risques

opérationnels nous ont permis de savoir son importance dans le secteur bancaire.




CHAPITRE 3 : METHODOLOGIE DE LA RECHERCHE

Les deux premiers chapitres nous ont permis de mieux comprendre la notion du risque

opérationnel ainsi que le processus de gestion de ce risque.

Nous présenterons à travers le présent chapitre notre méthodologie de recherche à savoir le

modèle d’analyse et les outils de collectes des données utilisés.

3.1. Modèle d’analyse

Le modèle d’analyse permettra de montrer de manière schématique le processus de gestion

des risques opérationnels dans le but de recueillir les informations nécessaires à notre étude. Il

s’agit d’expliquer sou forme de modèle, la solution retenue pour résoudre le problème

soulevé.

Selon DESROCHES & al (2003 :58), plusieurs méthodes sont utilisées pour analyser les

risques parmi lesquelles les méthodes qualitatives et quantitatives sont les plus importantes.

La méthode qualitative traite essentiellement de la nature et de la gravité des risques. Son but

est d’identifier les évènements à risque apparaissant avant et suite aux défaillances du système

du contrôle interne, les causes de ses évènements, leurs conséquences (sur le système à travers

des scénarios) et les actions de diminution des risques qui peuvent être prises.

Selon Desroches & al (2003 : 60), la méthode quantitative permet d’évaluer la probabilité des

composants du risque en ce qui concerne la modélisation et l’évaluation des risques. Elle a

pour but de permettre la hiérarchisation des risques, l’évaluation du niveau de sécurité du

système de contrôle interne et la construction dudit système de manière efficace et cohérente.

Pour conclure la partie théorique de ce travail, nous présenterons un modèle d’analyse que

nous avons réalisé en classant d’une part, les différentes étapes du processus de gestion des

risques opérationnels de la SGBS, d’autre part nous attribuerons à chaque étape les outils de

collecte de données qui y correspondent.




Figure 2 : Modèle d’analyse

Phases Etapes Outils

Source : nous-même

PREPARATION

REALISATION

FINALITE

Prise de connaissance du dispositif de

gestion des risques opérationnels

Analyse critique des outils de

gestion des risques

opérationnels

Recommandations

Entretiens

Questionnaire

Recherche documentaire

Tableau des forces et faiblesses

Evaluation des risques « intrinsèques » et de la qualité et pertinence des

Identifier et évaluer

le RCSA

KRI

Pertes internes

Analyse de

scénarios

Indicateurs « d’alertes » permettant de mesurer la dégradation de la maîtrise

Etude de scénarios de crise ou de chocs

Collecte des pertes opérationnelles classées en fonction des catégories de risques définies par la banque

Entretiens

Questionnaire

Entretiens

Questionnaire

Interviews




3.2. Les outils de collecte de données

Vu les objectifs poursuivis dans cette étude, la collecte des données a été très importante dans

la réalisation de ce mémoire. Pour y parvenir, nous avons effectué un stage pratique de trois

mois au sein de la SGBS. Pour recueillir le maximum d’informations, nous avons eu à faire

une collecte de données grâce aux outils d’interrogations et de description détaillés dans les

sections à venir :

3.2.1. Le questionnaire d’enquête

Le questionnaire est un instrument de collecte des données quantitatives. Selon Ghiglione et

Matalon (1978, 98)15, le questionnaire « est un instrument rigoureusement standardisé à la

fois dans le texte des questions et dans leur ordre. Dans le but d'assurer la comparabilité des

réponses de tous les sujets, les questions doivent être posées de la même façon ». Le

questionnaire est l’un des outils d’interrogation de collecte de données le plus utilisé. Dans le

cadre de notre étude, des questionnaires ont été administrés sous forme d’entretiens, aux

différents agents opérationnels de la SGBS intervenant dans le processus de gestion du risque

opérationnel, mais particulièrement ceux du service contrôle permanent.

Le questionnaire nous a permis d'actualiser les données recueillies par les autres instruments

de collecte des données. Dans sa forme, notre questionnaire est composé des questions

fermées, des questions semi fermées ou semi-ouvertes et des questions ouvertes.

3.2.2. L’entretien ou interview

L'entretien est un outil de collecte des données qualitatives. Ghiglione et Matalon (1978 : 59)

le définissent comme : « une conversation ayant un but ». L'entretien présente l'avantage

d'être suffisamment large pour englober une grande partie du thème de l'étude. Il existe deux

variantes : l'entretien non directif au cours du quel l'enquêté est libre de parler du thème selon

sa sensibilité personnelle, et l'entretien semi directif au cours du quel l'enquêteur élabore un

guide d'entretien à l'intention de l'enquêté. Ce guide relève les aspects sur les quels l'enquêteur

veut obtenir les réactions de l'enquêté.

15 http://theses.univ-lyon2.fr/documents/getpart.php?id=lyon2.2008.mbele_jd&part=151142


http://theses.univ-lyon2.fr/documents/getpart.php?id=lyon2.2008.mbele_jd&part=151142



Les entretiens permettent d’obtenir certaines informations de la banque, dans le cadre de notre

étude nous avons privilégié les interviews face à face ce qui nous a permis de mieux

comprendre la notion du risque opérationnel et sa gestion dans les banques commerciales telle

que la SGBS.

3.2.3. L’observation

C'est un premier niveau d'approche du problème à étudier. Cette technique de collecte est

utilisée pour cerner une situation bien précise. Elle nous a permis d'observer l'environnement

de la banque plus précisément du service risque opérationnel. Elle permet souvent de saisir

immédiatement les informations, en allant au contact avec l'objet à analyser. Dans son

ouvrage, Mace G cité par Defouen Wadoum (2005 : 42)16 dit à cet effet que : « L'observation

directe consiste, pour un chercheur à observer directement son objet d'étude ou le milieu dans

lequel le problème se produit afin d'en extraire les renseignements pertinents à sa recherche ».

Nos trois mois de stage nous ont permis de rencontrer plusieurs cas représentant un risque

opérationnel pour la banque, mais du fait que les informations soient tenues au secret

professionnel, nous ne pourrons les prendre en guise d’exemples dans cette étude, mais ils

nous permettront de faire une bonne analyse de ce risque.

3.2.4. La recherche documentaire

La recherche documentaire a été l'outil essentiel de collecte des données secondaires depuis le

choix du thème jusqu'à la rédaction du mémoire. La recherche documentaire a permis

d’explorer les points de vue de plusieurs auteurs qui nous ont précédés dans la recherche sur

le risque opérationnel. Ceci a permis de voir leur compréhension sur la notion du risque

opérationnel et de sa gestion et aussi de pouvoir élargir à notre tour les horizons.

Nous avons ainsi procédé à une revue documentaire qui tend à compléter nos informations

grâce à d’autres ouvrages. A cet effet, différents ouvrages, articles, documents interne de la

banque ont permis l’approfondissement de nos connaissances sur les risques opérationnels

bancaire.

16http://www.memoireonline.com/04/10/3249/m_Le-traitement-des-ordures-menageres-et-lagriculture-urbaine-

et-periurbaine-dans-la-ville-de-Be14.html


http://www.memoireonline.com/04/10/3249/m_Le-traitement-des-ordures-menageres-et-lagriculture-urbaine-et-periurbaine-dans-la-ville-de-Be14.html

http://www.memoireonline.com/04/10/3249/m_Le-traitement-des-ordures-menageres-et-lagriculture-urbaine-et-periurbaine-dans-la-ville-de-Be14.html



3.2.5. Echantillon

Nous aurons comme population mère la SGBS. Compte tenu des objectifs de notre recherche,

nous nous sommes adressés aux agents du Département des Risques, en l’occurrence aux

Responsables des Risques Opérationnels qui sont chargés de la mise en œuvre et de la

supervision du dispositif de suivi et de pilotage des risques opérationnels au sein de la banque,

pour le déploiement des questionnaires.

Ce chapitre nous a permis d’illustrer un modèle d’analyse et de définir les différents outils

permettant d’avoir le maximum d’informations concernant le dispositif de gestion des risques

opérationnels, dont l’aspect pratique fera l’objet de la deuxième partie de cette étude. CESAG - BIBLIOTHEQUE



Conclusion première partie

La gestion des risques opérationnels est devenue plus qu’un simple exercice de conformité,

elle est une source de création et de valeur de la banque, ceci permettant la réduction des

pertes, de préserver les fonds propres et protéger l’image de la banque.

En effet, le risque opérationnel n’était pas un risque nouveau pour les banques, mais plutôt un

risque qui n’était pas nécessairement suivi dans le cadre d’un dispositif global. Une meilleure

gestion desdits risques par les banques permettra d’améliorer la fiabilité des mesures de

risque, la qualité des bases de données et la prise en compte des changements et du niveau du

contrôle interne. Ceci dans le but d’aider les banques à réduire leurs pertes grâce à une

meilleure performance opérationnelle des équipes et une prise de décision renforcée.

La revue de littérature présentée précédemment, nous a permis de cerner les variables que

sont l’activité bancaire, les différentes types de risques bancaires et les étapes du processus de

gestion des risques opérationnels. Cela nous ayant permis de faire le tour de la notion du

risque opérationnel, le dispositif de contrôle de ce risque, ainsi que l’analyse du dispositif de

gestion de ce dernier. Toutes ces dimensions sont importantes pour aborder la partie pratique

de notre étude.

Comment ces risques sont-ils gérés à la SGBS ? Quel est le dispositif mis en place par la

SGBS ? Les outils correspondant au dispositif sont ils pertinents ? Telles sont les questions

auxquelles nous tenterons de répondre dans la deuxième partie de notre étude.


DEUXIEME PARTIE : MISE EN ŒUVRE DU

DISPOSITIF DE GESTION ET DE PILOTAGE DU

RISQUE OPERATIONNEL DE LA SGBS




Aujourd’hui la bonne gouvernance des institutions financières, particulièrement celle d’une

banque, dépend de l’obtention de solutions performantes pour faire face aux risques

opérationnels, l’activité bancaire étant source d’un nombre important de risques

opérationnels.

En effet, la gestion du risque opérationnel se situe à un tournant de son évolution. De

nombreuses approches ont été développées à travers différentes branches d’activités, mais

beaucoup d’institutions s’efforcent de les rendre pleinement efficaces en les intégrant

réellement dans la gestion quotidienne de leur activité.

Afin de surmonter ce défi, il est essentiel de définir clairement la relation entre les processus

de risque opérationnel et l’environnement de contrôle global, et d’établir les liens cruciaux

entre les différents processus de risque opérationnel.

Dans le système bancaire sénégalais, la SGBS s’est conformée aux exigences de Bale 2 en

matière de gestion des risques opérationnels car disposant d’une fonction « Risque

opérationnel ». Notre étude se portera sur cette banque dans laquelle nous avons effectué

notre stage en vue de la rédaction de ce mémoire.

Après avoir fait le tour de la notion du risque opérationnel bancaire dans la première partie, la

seconde partie, s’accentuera sur le processus de gestion de ce risque à la SGBS. Nous

commencerons dans un premier temps par une présentation de la Société Générale de

Banques au Sénégal, ensuite nous décrirons le dispositif de gestion des risques opérationnels

mis en place afin d’évaluer la performance des outils intervenant dans le processus de gestion

pour enfin faire des recommandations.




CHAPITRE 4 : PRÉSENTATION DE LA SOCIÉTÉ GÉNÉRALE DE BANQUES AU

SÉNÉGAL

La Société Générale de Banques au Sénégal est une filiale de la Société Générale. Crée le 04

Mai 1864 date du décret d’autorisation signé par Napoléon III, la Société Générale est une

association d’entreprises et de groupes bancaires français, elle mène des activités dans plus de

quatre vingt-deux (82) pays. Elle est également présente en Afrique à travers ses filiales

notamment la SGBS au Sénégal. Son réseau Banque de détail Hors France Métropolitaine

(BHFM)17 dont dépend la SGBS est très diversifié en termes de taille d’implantation et des

marchés

4.1. Historique de la Société Générale de Banques au Sénégal (SGBS)

La Société Générale de Banques au Sénégal (SGBS) est une société anonyme de droit

sénégalais qui a pour objet la pratique des opérations de banque au Sénégal et à l’étranger en

tant qu’intermédiaire financier dans le cadre de l’UEMOA et de la zone franc. D’abord,

agence de la Société Générale (France), elle reprend l’exploitation de cette dernière en

absorbant une petite banque, la BCA (Banque Commerciale D’Afrique). Classée dans la

catégorie des banques commerciales, la SGBS fut créée le 09 Novembre 1962 et devient

filiale du Groupe Société Générale le 26 Novembre 1962 qui y détient 57,72 % du capital

social et le reste est réparti comme suit :

- 35,15% pour des privés sénégalais

- 5,57% pour Hypo Und Vereinsbank AG qui est une banque allemande

- 1,56% pour SGBCI qui est une filiale du groupe Société Générale.

De 500 millions FCFA à l’origine, le capital de la SGBS après plusieurs augmentations dont

la dernière est intervenue en 2008, s’élève actuellement à 10 milliards de FCFA.

17 Le pole Réseaux de Banque de Détail à l’international pilote et supervise l’activité de Banque de réseau à l’étranger et dans les collectivités d’outremer, offrant une gamme complète de produits et services tant aux particuliers qu’aux entreprises. BHFM a vocation à développer les synergies dans le réseau de banques qu’elle supervise, en ce qui concerne tant les produits que l’organisation , l’informatique, les outils et les techniques d’animation, tout en respectant les particularités liées au statut des implantations et aux pays d’implantation. Pour mener à bien ses missions, BHFM s’appuie sur l’ensemble des Pôles et Direction Centrales du Groupe




Tableau 3 : Évolution du chiffre d’affaires de la SGBS

Années 1962 1978 1979 1988 1989 1990 1993 1995 2008 2011

Capital en

millions

de FCFA

500 1716 2156 2695 3234 3773 4312 4527,6 10000 10000

Source : bilan de la SGBS (2011 :3)

4.2. Organisation Générale de la SGBS

L’organisation Générale de la SGBS sera présentée comme suit :

4.2.1. Organisation du siège

L’organisation du siège de la SGBS repose essentiellement sur des services centraux. Le

réseau est constitué de 42 agences dont les guichets de change traitant également des

opérations Western Union et de Money Gram.

Comme toute banque de détail, la SGBS s’adresse à une clientèle de particuliers, de

professionnels, d’entreprises et d’institutionnels à qui elle offre des produits tels que : les

moyens de financement à court, moyen et long terme, les dépôts, les produits d’assurances,

les produits monétique et télématique etc.

4.2.1.1. Organisation institutionnelle

L’organisation institutionnelle de la banque s’établit comme suit :

Le Conseil d’Administration qui est l’organe suprême de la banque. Il a à sa tête un

président élu par les administrateurs pour une durée de 3 ans. Désignés par l’assemblée

générale sur proposition du conseil d’administration, les administrateurs au nombre de sept,

représentent les actionnaires et leur mandat est d’une durée de 3ans également.

La Direction Générale qui est chargée de mettre en place la stratégie adéquate pour

atteindre les objectifs qui ont été fixés par le conseil d’administration. Elle a sous sa tutelle la

Direction des risques, la Direction des Ressources Humaines, le Projet Manko, la Direction de

l’Exploitation et du Réseau et enfin le Secrétariat Général.




Cependant la Direction Générale est aussi rattachée à 2 autres départements mutualisés par la

BHFM à savoir le (centre des services mutualisés) CSM et le Département du contrôle

Périodique (DCPE) qui ont pour mission :

- de contrôler le bon fonctionnement de la Surveillance Permanente ;

- de vérifier la bonne application des procédures, des instructions et des dispositions

légales et règlementaires et de proposer, le cas échéant, les aménagements

souhaitables ;

- d’apprécier la qualité des traitements effectués pour la clientèle ou pour d’autres

entités ;

- de veiller à la prise en compte des exigences du Contrôle Interne (existence de pistes

d’audit…) avant tout développement de projets informatiques et organisationnels ;

- de procéder aux enquêtes relatives aux différentes irrégularités observées ;

- de suivre la réalisation de ses propres préconisations et le cas échéant de celles

émanant des autorités de tutelle et des auditeurs externes.

4.2.1.2. Organisation technique

L’organisation technique de la SGBS est gérée par deux directions principales :

La Direction de l’Exploitation et du Réseau qui assure l’animation du réseau et a

sous sa responsabilité le marché de la clientèle privée et professionnelle, le marché des

Entreprises, l’animation du réseau, le Service de la Qualité, et le Service Marketing.

Le Secrétariat Général qui a comme principale fonction de créer les conditions

favorables pour le bon déroulement de l’activité commerciale de la banque. Il a sous sa

gouvernance :

la Direction logistique et organisation qui a pour mission principale d’assurer la

mise à disposition des moyens (matériels, mobiliers et immobiliers) nécessaires aux services

d’exploitation, de superviser les services généraux de transmission (courrier, standard), de

gérer l’approvisionnement (économat, reprographie et confection), de mettre en place des

outils informatiques permettant d’archiver et d’assurer la maintenance des informations

internes de la banque et enfin met en œuvre une politique immobilière et garantit la bonne

occupation des immeubles.

la Direction Financière qui a un rôle d’animation de la fonction finance. A ce titre,

elle supervise la Comptabilité générale et la consolidation des données financières aux normes




Groupe. Elle veille notamment au bon respect des règlementations Groupe (IAS/IFRS) et

Locales (PCB). Elle regroupe le service de la comptabilité, du Contrôle de Gestion et de la

Trésorerie.

la Direction des traitements Bancaires, est le centre névralgique de la banque dans

la mesure où elle s’occupe de la mise en place des structures, circuits et procédures de travail.

Elle s’occupe principalement du service clients crédits et services (SCCS) et de la gestion des

moyens de paiement grâce à différents services importants à savoir, le service étranger, la

monétique, et le service du portefeuille.

le Service Contrôle Permanent regroupe les Responsables du Contrôle de la

conformité (RCO), de la lutte contre le blanchiment et le terrorisme (AMLO), les

Responsables risques opérationnels (RRO) des responsables de la surveillance permanente

(SP) et enfin du responsable du plan de continuité d’activité (PCA).

le Service Juridique a pour principales missions de :

- veiller à la sécurisation de l’activité de la banque et des opérations qui ont un lien

direct avec la fiscalité, les polices d’assurance et les affaires juridiques de la banque ;

- gérer les contentieux avec les clients de la banque, particuliers ou entreprises, en cas

de litiges ;

- et enfin veiller à la revue permanente de la mise en vigueur des nouvelles lois ou

procédures bancaires établi par la législation.

Par ailleurs il assure aussi les déclarations et paiements fiscaux et assiste le service du

Patrimoine dans le cadre du développement du réseau (droit d’enregistrement et de mutation

de toute acquisition de terrain).

le service communication Externe est sous la responsabilité du chargé de la

communication externe, il a pour mission de :

- définir mettre en œuvre et évaluer la stratégie de communication externe de la SGBS,

en cohérence avec la stratégie du Groupe SG et en sollicitant les techniques et moyens

de communication adaptés (relations avec la presse, relations publiques,

évènementiels…) ;

- définir, mettre en œuvre et suivre la mise en place les actions de mécénat et sponsoring

pertinentes dans le respect de la stratégie de communication externe définie par le

groupe SG ;




- décliner la politique du groupe SG en matière de développement durable en lien avec

les correspondants BHFM.

4.2.2. Organisation du Contrôle Permanent

L’un des objectifs de la SGBS est de renforcer la maitrise de ses risques opérationnels et de

les prendre en compte dans une approche de risque/ rentabilité.

Le risque opérationnel est inhérent à tous les produits, activités, procédures et système de la

SGBS. Sa gestion fait partie intégrante des fonctions de management à tous les niveaux. Elle

repose, dans une large mesure, sur le dispositif de contrôle interne du Groupe.

Ce dispositif implique que le risque opérationnel soit considéré comme une catégorie de

risque à part entière et fasse l’objet d’une identification et d’une évaluation spécifique, d’un

suivi et d’un contrôle normalisé, débouchant sur des mesures de réduction de risque

appropriées.

Les approches de gestion et de pilotage des risques opérationnels doivent également être

cohérentes avec celles des autres risques de la banque, notamment le risque de crédit et le

risque de marché.

Leur pilotage peut s’appuyer sur les structures organisationnelles de la SGBS (pôles

d’activités, Directions fonctionnelles, etc.), mais également sur des filières pour certaines

catégories d’événement de risque (perte des moyens d’exploitation, défaillance des systèmes

d’informations, etc.)

4.2.2.1. Pôle Risque Opérationnel

Le pole des risques opérationnels (RISK/OPE) à la responsabilité d’animer la filière risques

opérationnels, ainsi que de concevoir et de mettre en œuvre le dispositif de gestion des risques

opérationnels de la banque en concertation avec les services et directions opérationnels.

Il a pour mission de :

- mettre en place les différentes composantes du dispositif de pilotage des risques

opérationnels ;

- assurer le suivi des risques opérationnels et coordonner leur pilotage ;




- organiser les reportings internes et externes ;

- assurer la qualité des données de risques opérationnels et leur traçabilité ;

- identifier et communiquer au pôle, les données ayant un impact majeur pour BHFM ;

- superviser l’exécution des actions visant à améliorer l’environnement opérationnel et

de contrôle ;

- définir et organiser la formation risques opérationnels des agents ;

- s’assurer de l’adéquation des ressources nécessaires pour réaliser les missions

demandées.

4.2.2.2. Pole Conformité LAB/FT (lutte anti-blanchiment et financement du

terrorisme)

Le règlement 97-0218 requiert que soit mis en place au sein de la SGBS un dispositif de

contrôle interne respectant le principe de séparation entre contrôle permanent et contrôle

périodique. Il impose aussi la mise en place d’un contrôle permanent de la conformité, au

moyen d’une organisation propre, de ressources dédiées et de procédures spécifiques.

Ce pole est composé d’un effectif de 2 Agents au niveau de la SGBS à savoir un Coordinateur

chargé du Contrôle Conformité, des Risques opérationnels et de la Lutte contre le

blanchiment et le terrorisme et un assistant chargé de la Lutte contre le blanchiment.

L’action des agents de la Lutte Anti Blanchiment et Financement du Terrorisme (LAB/FT)

(H/F) porte principalement sur les axes suivants :

- analyser les données atypiques ;

- communiquer sur l’utilisation des instructions sur la LAB/LFT ;

- réfléchir sur la mise en place de nouveaux scénarios par rapport aux évolutions dans

les domaines bancaires et Lutte Anti blanchiment et Financement du terrorisme ;

- participer à la formation des agents dans le domaine LAB/LFT ;

- rédaction fréquente de rapport concernant le fonctionnement LAB/LFT local pour

BHFM ;

- veiller à l’identification des risques de non conformité et à la mise en œuvre des

dispositifs de prévention appropriés ;

18 Comité de la réglementation bancaire et financière (CRBF) modifié par arrêté du 31 mars 2005




- s’assurer de l’existence de procédures de détection de dysfonctionnements ;

- prendre ou faire prendre les mesures correctrices ;

- sensibiliser les opérationnels aux risques de non-conformité.

4.2.2.3. Pôle Plan de Continuité de l’Activité (PCA)

Le plan de continuité d’activité consiste à développer au niveau de chacune des entités du

groupe société générale, des organisations, des procédures et des moyens destinés à faire face

à des sinistres d’origine naturelle ou accidentelle, ou à des actes volontaires de nuisance, en

vue de protéger leurs personnels, leurs actifs et leurs activités essentielles et à permettre la

poursuite des prestations de services essentielles puis la reprise des activités.

Sa mission fait l’objet d’une Directive spécifique qui implique :

- de proposer au management, en liaison avec les pôles d’activités et les Directions

fonctionnelles, l’application de la politique globale de continuité d’activité du Groupe

à la filiale SGBS, d’en piloter la mise en œuvre et de coordonner les tests transversaux

des plans de continuité des Activités (PCA) ;

- de définir, au niveau de la filiale SGBS, la stratégie et les méthodologies de gestion de

crise, en liaison avec les Pôles d’activités et les directions fonctionnelles, d’en assurer

la cohérence d’ensemble et, en situation de crise, de coordonner le pilotage du

dispositif de gestion de crise.

Le plan de continuité d’activité et la gestion de crise est sous la tutelle du responsable du

contrôle permanent.

4.2.2.4. Pôle Surveillance Permanente

Cette cellule s’appuie sur les correspondants surveillance permanente des Pôles d’activités et

des Directions fonctionnels Groupe. Le pole Surveillance Permanente est l’ensemble des

dispositions mises en œuvre en permanence pour garantir, au niveau opérationnel, la

conformité, la sécurité et la validité des opérations réalisées. Elle se décompose en deux

volets :




La sécurité au quotidien : elle concerne l’ensemble des agents et repose sur le respect

permanent par chacun d’entre eux, pour toutes les opérations qu’il traite, des règles et

procédures opérationnelles en vigueur.

La supervision formalisée : elle constitue l’obligation pour la hiérarchie de vérifier,

régulièrement et au travers de procédures écrites, le respect par les agents des règles et

procédures de traitement et l’efficacité de la sécurité au quotidien. Les contrôles sont

effectués périodiquement a posteriori par le responsable hiérarchique.

Elle effectue des contrôles formalisés portant sur les comptes et les procédures / existences

sensibles et rédige un compte rendu trimestriel mettant en relief les anomalies et actions

engagées. La Surveillance Permanente procède donc à un contrôle de deuxième niveau qui

consiste à vérifier si le contrôle de premier niveau est bien effectué par les opérationnels. En

parallèle, elle se doit de veiller à mettre à jour l’organigramme de la banque par ligne métier

afin de s’assurer que les taches sont bien distribuées à travers la banque.

Ce chapitre nous a permis de présenter l’historique et l’organisation de la SGBS. Cette

présentation de la banque a vraiment été instructive dans la mesure où elle permet de mieux

connaitre et de comprendre le mode de fonctionnement de la SGBS. Par ailleurs, elle nous a

permis de nous familiariser avec le Contrôle permanent dont le service Risque Opérationnel

qui a en charge la gestion du risque opérationnel dans la banque.




CHAPITRE 5 : LA GESTION ET LE PILOTAGE DU RISQUE OPERATIONNEL

BANCAIRE A LA SGBS

La gestion et la maitrise des risques opérationnels est essentiel pour tout instituts financiers et

surtout pour les banques commerciales comme la SGBS. La stratégie de la gestion des risques

opérationnels est définie par le groupe Société Générale qui est la société mère et s’applique à

l’ensemble des entités consolidées

En effet, la SGBS l’a bien comprit et a vu l’importance de ce risque et des conséquences

fâcheuses qu’il pourrait lui causer. De ce fait, la décision de se conformer aux exigences de

Bâle, en mettant en place un dispositif de gestion du risque opérationnel, parait être une

bonne stratégie dès lors qu’il permet de mieux maitriser les risques et de réduire les pertes

potentielles.

Néanmoins la gestion du risque opérationnel, est un peu complexe et difficile à gérer car elle

concerne l’ensemble des agents de la banque puisque le risque peut provenir de partout

sachant que le « risque zéro » n’existe pas. Le scandale de la Société Générale a dévoilé au

grand public les conséquences des risques liés à des dysfonctionnements opérationnels.

Avec la réforme de Bâle 2, cette catégorie de risques doit maintenant être prise en compte

dans l’évaluation des fonds propres des établissements financiers. Leur évaluation quantitative

est donc la première démarche qui a été entreprise. Cependant cette approche apparaît comme

insuffisante pour maîtriser ces risques et la gravité des évènements exceptionnels est

extrêmement difficile à évaluer. Il faut donc combiner ces approches quantitatives à des

démarches plus qualitatives relevant de la mise en place d’un dispositif de gestion efficace.

Dans le but de mieux comprendre le processus de gestion de ce risque, nous présenterons la

culture du risque au sein de la banque et ensuite faire une description du dispositif de gestion

des risques opérationnels de la SGBS dans ce chapitre.

5.1. Culture du risque opérationnel et analyse du cadre méthodologique du risque

opérationnel à la SGBS

Dans cette section, nous parlerons de la culture du RO au sein de la SGBS et en l’analyse du

cadre méthodologique du risque opérationnel à la SGBS.




5.1.1. Culture du risque opérationnel

Une forte culture du risque bancaire est développée au sein du Groupe Société Générale et ce,

à travers l’ensemble de ses filiales notamment la SGBS. Cette culture fait intervenir

l’ensemble du personnel de la banque en les impliquant dans le processus de gestion des

risques.

En effet, au sein de la SGBS, cette culture est essentiellement constituée de principes qui sont

intégrés dans chacune des activités de la banque, qui reflètent les valeurs de la banque et qui

doivent être respectés en vue d’une meilleure gestion des risques opérationnels. Pour la SGBS

la culture de ce risque est un ensemble de croyances et d’attitudes dont elle appréhende dans

toutes les activités depuis l’élaboration d’une stratégie jusqu’à sa mise en œuvre au quotidien.

5.1.2. Analyse du cadre méthodologique du RO

Le Groupe Société Générale se soucie de la nécessité de se conformer aux normes

internationales et plus spécifiquement aux exigences du Comité de Bale 2 en ce qui concerne

l’intégration des risques opérationnels dans sa gestion des risques bancaires. Cette démarche

implique la participation de toute la banque.

Nous avons eu à remarqué que l’ensemble du dispositif de gestion des risques opérationnels

de la SGBS est sous-tendu par une politique de gestion desdits risques définie par le Groupe.

En ce qui concerne le périmètre couvert par le processus de gestion du risque opérationnel, la

SGBS effectue un découpage en ligne métiers conformément à la nomenclature de Bâle 2 en

ce qui ces risques. Ainsi, cette politique couvre tous les métiers de la banque. Donc la SGBS a

adopté la typologie des risques opérationnels telle que définie par le Comité de Bale 2.

5.2. Description du dispositif d’évaluation quantitatif et qualitatif des RO

Le dispositif d’évaluation quantitative et qualitative de ses risques opérationnels s’appuie sur

l’auto évaluation des risques, les indicateurs clés de risque ou (KRI : Key Risk Indicators), les

analyses de scenarii, et la collecte de pertes internes.




5.2.1. Auto évaluation des risques et des contrôles (RCSA : Risk & Control Self

Assesment)

Quelle que soit la méthode de mesure du capital règlementaire Bâle 2 retenue au titre des

Risques Opérationnels (RO), les banques doivent conduire des exercices réguliers d’auto

évaluation des risques et des contrôles (Risk & Control Self Assesment - RCSA).

Le RCSA est obligatoire pour les banques qui ont, comme la SGBS, opté pour le calcul des

exigences minimales de fonds propres au titre du RO selon l’Approche de Mesure Avancée

(méthode AMA). La méthodologie prend en compte les facteurs de risque relatifs au contrôle

interne et à l’environnement susceptibles de modifier le profil de risque opérationnel du

groupe. La politique RCSA concerne toutes les entités consolidées du groupe, tous les

responsables d’une activité exposée ou engendrant des risques opérationnels et enfin toutes

les filiales BHFM dont la SGBS.

Le RCSA est au cœur du dispositif de pilotage des risques opérationnels de la SGBS. Il est

donc utilisé par les responsables d’entités pour le suivi et le pilotage de leurs risques

opérationnels.

Le RCSA a pour but d’apprécier et d’évaluer l’exposition intrinsèque aux risques

opérationnels, d’améliorer les dispositifs de prévention et de contrôle et de mesurer

l’exposition aux risques résiduels.

C’est ainsi que la SGBS, organise la gestion du RCSA en 3 étapes :

- cartographier les risques intrinsèques (RI) pour identifier et évaluer les risques internes

et externes ;

- réaliser des "scorecards" ;

- cartographier les risques résiduels (RR).

5.2.1.1. Cartographie des risques intrinsèques

Il s’agit d’identifier les risques intrinsèques auxquels est exposée chaque entité par sous-

catégorie d’évènement19. Chaque risque auquel est exposée la banque doit être évalué par les

19 BHFM a choisi de faire une évaluation distincte par sous-catégorie, et non par catégorie




responsables de la SGBS en faisant abstraction du dispositif de prévention et de contrôle de la

banque.

Dans l’approche RCSA, identifier les risques intrinsèques à une activité équivaut à identifier

et mesurer les principales catégories d’événements de risque qui la concernent.

Exemples :

Une entité exerçant un service dans le cadre d’un mandat rémunéré est exposée à la

catégorie d’événement «Litiges commerciaux ».

De même, une entité ayant des activités de marché est exposée à la catégorie

d’événement « Rogue trading20 »

La cartographie des RI doit être établie et validée au moins une fois l’an. C’est un préalable à

l’établissement de la scorecard du RCSA. La période d’établissement est précisée tous les ans

par BHFM en fonction des contraintes Siège et du planning général du RCSA.

Cette cartographie est établie sous la responsabilité du Responsable des Risques

Opérationnels (RRO), au choix :

- pour l’ensemble des sous-catégories d’événement, collégialement par les principaux

responsables opérationnels de la SGBS ;

- pour chaque catégorie d’événement, par les seuls responsables opérationnels

concernés par cette sous-catégorie d’évènement.

Le responsable de l’audit ou Inspection Générale peut participer à l’élaboration de cette

cartographie à titre consultatif du fait de sa connaissance de l’environnement général de la

Banque.

Après évaluation, les cartographies des risques intrinsèques de la SGBS sont validées par

BHFM.

20 Activités non autorisées sur les marchés




Elaboration de la cartographie des risques intrinsèques

La méthode d’auto-évaluation des risques et des contrôles (RCSA) développée par la

SGBS propose un langage commun d’identification et d’évaluation des risques ainsi

qu’un processus d’évaluation homogène afin de garantir une cohérence et une

comparabilité des notations au sein du Groupe.

Elle s’appuie sur :

- la classification des catégories et sous-catégories d’évènement de RO déjà mise en

œuvre dans le Groupe pour la collecte des pertes internes ;

- un référentiel de facteurs de risques relatifs à l’environnement dans lequel opère le

Groupe.

L’exercice d’élaboration de la cartographie doit être suffisamment documenté pour permettre

sa revue par les instances de contrôle périodique, et les régulateurs français et locaux.

Pour élaborer cette cartographie, la SGBS dispose d’un document support.

Pour chaque sous-catégorie, l’évaluation du risque intrinsèque s’appuie sur les éléments

suivants :

- les pertes opérationnelles déjà constatées pour cette sous-catégorie ;

- les facteurs environnementaux les plus impactant.

Ces éléments décisionnels doivent systématiquement être renseignés lors de l’élaboration de

la cartographie. Les facteurs environnementaux peuvent être notés et doivent être commentés.

Rôles et responsabilités

Les Pôles ont un rôle de notation/validation des risques et des dispositifs de contrôle et

prévention qui les concernent. A ce titre BHFM doit valider la qualité des données du RCSA

et donc de cette cartographie.

Les services d’Inspection et d’audit interne sont responsables de la vérification périodique du

dispositif de RCSA. Ils valident également la fiabilité et l’exhaustivité des évaluations de

profils des risques.




Circuit de validation des risques intrinsèques

Les risques intrinsèques suivent un circuit de validation qui passe par plusieurs étapes mais

tenue sous le secret professionnel.

Saisie et validation de la cartographie dans la base X

Cette dernière étape est un préalable obligatoire à la mise en œuvre des étapes suivantes du

RCSA (élaboration de la scorecard, désignation des noteurs, notation, évaluation du risque

résiduel). Les informations sont saisies et modélisées.

5.2.1.2. Scorecard

Apres l’établissement de la cartographie des Risques Intrinsèques par le Responsable des

Risques Opérationnels, validation puis saisie dans l’Outil Access RCSA au préalable, vient

l’étape suivante à savoir la réalisation des scorecard pour évaluer la qualité des dispositifs de

prévention et de contrôle et identifier les vulnérabilités de ces dispositifs.

Acteurs et périodicité

La scorecard doit être établie et validée tous les ans. La période d’établissement est précisée

tous les ans par BHFM en fonction des contraintes Siège et du planning général du RCSA.

La scorecard est établie sous l’autorité du Responsable des Risques Opérationnels (RRO) de

la banque. Le RRO construit la scorecard, s’assure de la qualité des informations fournies par

les opérationnels et centralise les données. Les responsables métiers notent et valident les

facteurs de risques de la scorecard qui les concernent.

Après évaluation, les scorecards sont validées par BHFM.

Evaluation du dispositif de prévention et de contrôle

L’évaluation des dispositifs de prévention et de contrôle se décompose en deux étapes:

- la construction des questionnaires scorecards par le responsable des risques

opérationnels (RRO) ;

- la notation et la validation de ces scorecards par les responsables métiers concernés.




a) Construction des questionnaires entités (ou « scorecards entités »)

A la SGBS la scorecard est construite par le RRO à partir de la scorecard type BHFM. Elle est

construite en définissant les facteurs de risques (FR) qui la concerne et le type de coefficient

de pondération rattaché à chaque FR. Les FR sont pondérés au sein de chaque sous-catégorie

d’évènement (SCE).

Les facteurs de risques sont ensuite notés et justifiés de manière homogène quelles que soient

les catégories d’événement (ou sous-catégories d’événement) concernées. La note de chaque

question d’évaluation indique dans quelle mesure les dispositifs de prévention et de contrôle

de l’entité sont existants, pertinents, efficaces et auditables.

Un facteur de risques, qu’il fasse ou non l’objet de mesures de prévention ou de contrôle, doit

être évalué dès lors que la banque y est exposée. Cette évaluation permettra de mettre en place

des mesures de prévention ou de contrôle.

b) Notation et validation des questionnaires entités

Toutes les questions de la scorecard entité doivent être notées et justifiées en respectant le

barème de notation propre à la question qui s’échelonne de la moins bonne note (1) à la

meilleure note (4). Le libellé explicatif des notes dépend de la formulation de la question.

Tableau 4 : Barème de notation

Exemple 1 Exemple 2

Barème de notation

des questions

4 Satisfaisant Presque toujours

3 Assez bon Assez souvent

2 Faible Parfois

1 Très insuffisant Très rarement

Source : SGBS

en justifiant obligatoirement la note indiquée en se référant par exemple au dispositif de

contrôle permanent (notamment la surveillance permanente), aux indicateurs clés de risque

(KRI) en place ou à tout autre dispositif de suivi ou de contrôle (ex : PCA).




La cotation (note et justification) du dispositif de contrôle doit systématiquement tenir compte

des conclusions des rapports d’audit et/ou de l’Inspection (internes et externes) de la période,

avec indication de la référence desdits rapports.

Il est possible d’exclure une question qui ne concerne pas l’entité (N/A : non concerné). Cette

exclusion doit être justifiée.

Les Responsables métiers (noteurs) sont les seuls responsables des notes et des justifications

fournies sur lesquelles ils s’engagent.

Le Responsable des Risques Opérationnels en temps que valideur s’assure qu’une

justification valable a été fournie pour chaque note (appréciation qualitative) et que les notes

sont cohérentes pour l’ensemble de son périmètre.


Les Pôles ont un rôle de notation/validation des risques et des dispositifs de contrôle et

prévention qui les concernent. A ce titre BHFM/SGO doit valider la qualité des données du

RCSA. Il assure la cohérence des questionnaires des différentes filiales par rapport au

périmètre de l’exercice.

La SGBS note et valide les risques et les dispositifs de prévention et de contrôle qui les

concernent.

Elle organise son RCSA en identifiant :

- les responsables en charge de la notation des scorecards ;

- éventuellement, leur hiérarchie, en charge de valider ces notations et les justifications

associées.

Elle forme les équipes à cet exercice.

Elle assure la cohérence des scorecards entités.

Elle assure la qualité des données du RCSA et leur « auditabilité ».


dispositif de RCSA. Ils peuvent participer en support du RRO à la construction de la

scorecard, mais en aucune façon à l’étape de notation.




Ils utilisent les résultats du RCSA pour établir leur plan d’audit et réaliser leur diagnostic en

début de mission.

Circuit d’élaboration et de validation des scorecards

Les étapes sont les suivantes :

- création de la scorecard dans l’outil X ;

- sélection des facteurs de risques (FR) dans l’outil X ;

- choix du mode d’évaluation dans l’outil X ;

- choix des pondérations dans l’outil X ;

- création des noteurs dans l’outil X. A la SGBS, les noteurs sont en général les

responsables opérationnels métiers ;

- identification des noteurs par facteur de risques dans l’outil X par le RRO. Il est désigné

un noteur pour chaque facteur de risques ;

- identification des valideurs dans l’outil X par le RRO ;

- édition et transmission des fichiers de notation aux différents noteurs par le RRO ;

- notation du questionnaire sous la responsabilité des différents responsables opérationnels

métiers désignés ;

- revue qualitative des notes et des justifications par le RRO ;

- importation par le RRO des questionnaires dans l’outil X.

5.2.1.3. Cartographie des risques résiduels

Dans le cadre de l’exercice RCSA, la SGBS doit évaluer l’exposition aux risques résiduels de

chacune de ses activités et identifier les vulnérabilités des dispositifs de prévention et de

contrôle et mettre en œuvre des plans d’actions correctrices.

Acteurs et périodicité

La cartographie des risques résiduels et le plan d’action doivent être établis et validés tous les

ans. La cartographie des Risques Intrinsèques et la scorecard (dispositif de contrôle et de

prévention) doivent avoir été enregistrées dans l’Outil X au préalable. La période

d’établissement est précisée tous les ans par BHFM en fonction des contraintes Siège et du

planning général du RCSA.




Evaluation de la cartographie des risques résiduels

Les risques résiduels doivent être évalués en respectant le barème de notation des risques :

Tableau 5 : Barème de notation des risques

RISQUES

4 Très élevé

3 Elevé

2 Modéré

1 Faible

0 Non exposé

Source : évaluation de la cartographie des risques résiduels (La société général et la gestion

des risques opérationnels 2010 :38)

Cette évaluation prend en compte pour chaque sous-catégorie d’événement :

- son niveau de notation des risques intrinsèques ;

- sa note consolidée correspondante du dispositif de prévention et de contrôle

(scorecard).

Pour ce faire, il est mis à la disposition de la SGBS un outil de simulation calculant

automatiquement son niveau de risques résiduels par SCE à partir de la cartographie des RI et

de la scorecard précédemment établies

Lorsque les notes sont déterminées, il convient de veiller, pour une sous-catégorie, à ce que la

note du risque résiduel ne soit pas supérieure à la note du risque intrinsèque (incohérent). De

même une sous-catégorie notée « exposée » au niveau de la cartographie des risques

intrinsèques ne peut pas être qualifiée de « non exposée » dans la cartographie des risques

résiduels.

Les cartographies des risques résiduels doivent obligatoirement être argumentées.




Plan d’action

Un plan d’actions correctrices doit être mis en œuvre suite à l’établissement de la cartographie

des risques résiduels.

Ce plan d’action est élaboré pour chaque sous catégorie d’évènement à partir de cette

cartographie et des notes du dispositif de prévention et de contrôle. Il est obligatoire de

déterminer un plan d’action pour chaque sous-catégorie d’événement dont le RR est « élevé »

ou « très élevé ». Il peut être établi un plan d’action commun à plusieurs sous-catégories

d’événement.

Le plan d’action de chaque sous-catégorie d’événement comporte les informations suivantes:

- description des actions ;

- date prévisionnelle de réalisation de chaque action ;

- nom et fonction de la personne responsable de chaque action.


Les Directions de la banque valident l’ensemble du dispositif d’auto-évaluation des risques et

des contrôles (cartographie des risques intrinsèques, scorecards, cartographie des risques

résiduels, plan d’action).


dispositif de RCSA. Ils utilisent les résultats du RCSA pour établir leur plan d’audit et réaliser

leur diagnostic en début de mission.

Circuit d’élaboration et de validation de la cartographie des risques résiduels

Les étapes sont les suivantes :

- simulation du calcul du risque résiduel dans l’outil X par le RRO ;

- la cartographie des Risques intrinsèques et la scorecard de l’entité doivent avoir été

enregistrées au préalable dans l’outil X ;

- détermination du niveau de risque résiduel de chaque sous-catégorie d’événement par

le RRO ;

- argumenter chaque note ;




- envoi de l’état de simulation et de la cartographie à BHFM pour validation ;

- après validation par BHFM et prise en compte des remarques éventuelles, saisie de la

cartographie dans l’outil X par le RRO.

5.2.2. indicateurs clés de risque ou (KRI : Key Risk Indicators)

En pratique, les indicateurs de risque sont des statistiques et/ou diverses mesures qui peuvent

donner une idée de l’exposition d’une entité ou de métiers aux risques. Ils sont revus de façon

périodique (chaque mois ou chaque trimestre) pour alerter la banque sur les

modifications/évolutions porteuses de risques. Ces indicateurs comprennent, par exemple, le

nombre d’opérations non exécutées, le taux de rotation du personnel, la fréquence et/ou la

gravité des erreurs et omissions.

5.2.2.1. Mode de détermination

L’identification des KRI est assurée par les responsables opérationnels et fonctionnels de la

banque qui définissent le niveau pertinent d’observation des KRI librement en fonction des

objectifs (KRI par activité, par zone géographique…).

La sélection de KRI et leur adaptation à l’évolution du profil de risque de chaque entité

(pertinence, caractéristiques) doit être examinée et mise à profit à l’occasion de chaque

exercice de RCSA.

Un indicateur clé de risques doit être compris, adopté par tout le monde et vérifiable. Les KRI

doivent être ainsi suffisamment documentés pour permettre leur revue par l’audit interne,

l’Inspection Générale et les régulateurs français et locaux.

Les KRI doivent être notamment définis à l’occasion de l’exercice RCSA ou à l’occasion

d’une revue du dispositif de contrôle des risques opérationnels, dans la mesure du possible par

rapport à des indicateurs existants (indicateurs de qualité, de performance…) et s’appuyant

sur le dispositif de prévention et de contrôle existant (Surveillance Permanente...).

Le RCSA permet d’identifier les zones de risque les plus sensibles (risque intrinsèque ou

résiduel significatif ou évoluant fortement) pour lesquelles des KRI doivent être mis en place

en priorité.




Ainsi la SGBS se doit obligatoirement de définir un KRI permettant de prévenir leur risque

pour les sous-catégories d’évènements pour lesquelles le RCSA a déterminé un risque

résiduel élevé ou très élevé. Une mise à jour de la liste des KRI sera effectuée suite à chaque

exercice RCSA

Pour faciliter la détermination des KRI par les filiales et assurer une certaine cohérence au

niveau du pôle, BHFM a défini la liste des KRI pouvant être utilisés au sein de BHFM.

Les caractéristiques des KRI figurant sur cette liste doivent être adaptées par chacune des

filiales en fonction de ses propres besoins. Les informations figurant sur cette liste sont

fournies à titre indicatif (voir annexes 4 page 94).

Il est collecté au sein chaque filiale, trois types de KRI :

- des KRI propres à chaque filiale et définis par elle en fonction de ses propres besoins ;

- des KRI transversaux dits « obligatoires », communs aux différentes filiales. Ces KRI

transversaux sont spécifiés par BHFM dans la liste mise à la disposition des filiales ;

- des KRI obligatoires propres à la filiale : ce sont les KRI permettant de suivre les

risques résiduels évalués comme « élevés » ou « très élevés ».

Remarque : Les nombres et montants des pertes internes de RO collectées par les entités

constituent déjà eux-mêmes des KRI.

5.2.2.2. Règles d’évaluation d’un KRI

Un KRI doit permettre d’évaluer un niveau fin d’exposition au risque et faire l’objet d’une

analyse et d’un suivi régulier par leurs responsables en fonction de règles d’évaluation

déterminées pour chaque KRI. Celles-ci doivent inclure une procédure d’escalade,

déclenchant une action systématique au-delà d’un seuil d’alerte préalablement défini.

Pour chaque KRI identifié, des règles d’évaluation sont définies et documentées avec des

précisions (informations confidentielles)

La norme et le seuil d’alerte ou de déclenchement d’action correctrice peuvent être

déterminés, dans l’absolu par rapport à un niveau à atteindre ou ne pas dépasser ou par

référence aux niveaux historiques de l’entité suivie.




Un objectif à atteindre, si cela est pertinent, qui peut être défini par exemple sous la

forme d’un seuil ou d’une évolution à atteindre à une échéance fixée.

Les valeurs des KRI et les analyses correspondantes doivent être conservées pour assurer la

piste d’audit.

5.2.3. Les analyses de scenarii

La règlementation bâloise, dans le cadre de la méthode AMA, impose aux banques telle que la

SGBS, de réaliser des analyses de scénario (AS) afin d’évaluer l’exposition aux évènements à

forte sévérité, mais aussi, d’une façon plus générale, de renseigner sur l’exposition aux

risques opérationnels encourus par l’établissement.

L’AS répond aux objectifs suivants :

- Renseigner le Groupe et la filiale sur ses zones de risques potentiels importants :

L’identification des risques potentiels doit se faire prioritairement sur les zones de

risques où le Groupe est exposé à des événements rares mais de fortes sévérités ;

- Contribuer au calcul du capital règlementaire AMA exigé au titre de la couverture du

risque opérationnel : Le processus de mesure du capital règlementaire AMA utilise les

résultats des AS combinés aux données de pertes internes pour quantifier les besoins

en capital règlementaire.

5.2.3.1. Étapes du processus et acteurs

Le rôle des principaux acteurs pour les grandes étapes du processus de gestion des AS est le

suivant :

Étape 1 : La définition du scénario

La SGBS est responsable du choix et de la définition des scénarios qu’elle souhaite conduire

dans le cadre du pilotage de ses RO. BHFM valide leur choix de scénario et informe

RISQ/OPE/PIL des scénarios qui seront conduits.




Étape 2 : La réalisation du scénario

Cette étape est de la compétence et de la responsabilité des RRO. Les différents responsables

de la Sgbs collaborent activement à l’élaboration du scénario. BHFM peut intervenir en

support au RRO.

Étape 3 : La validation de l’AS doit être effectuée par le RRO en respectant strictement les

contrôles qui sont demandés dans cette procédure et qui en garantissent un niveau de qualité

élevé. Une deuxième validation est ensuite effectuée par BHFM.

Les scénarios spécifiques sont ensuite validés par la direction Générale.

Etape 4 : BHFM envoie l’AS pour l’intégration au modèle de calcul de capital à RISQ/OPE

qui peut demander des informations complémentaires, des corrections, voire refuser de valider

l’AS.

On distingue plusieurs types de scénarios :

Les scénarios transversaux concernent simultanément plusieurs pôles (au moins 2

pôles).

Ils correspondent essentiellement à des événements de pertes extrêmes, constituant, en terme

financier, les plus grandes menaces potentielles pour le Groupe et peuvent générer des pertes

dans les catégories « pertes de moyens d’exploitation » (personnel, immeubles, matériels et

SI), « défaillance de SI » ou « fraude» :

Les scénarios spécifiques au pôle BHFM: Ces scénarios concernent des événements

de risques qui auraient un impact significatif au niveau du pôle BHFM et qui concerneraient

plusieurs filiales. Ils sont définis par BHFM.

Les scénarios spécifiques à une entité BHFM: Ces scénarios correspondent à des

événements de risques qui auraient un impact significatif au niveau de l’entité. Ils sont définis

par les entités elles-mêmes en accord avec BHFM, ou par BHFM. Le choix des scénarios

spécifiques est validé par la direction de la filiale.

C’est ce dernier que nous détaillerons dans les sections à venir.




5.2.3.2. Les scénarios spécifiques à la SGBS

La SGBS propose des scénarios concernant leurs activités lorsqu’elle le juge nécessaire dans

le cadre de leur pilotage des RO. BHFM peut lui demander d’établir des AS sur certaines

sous-catégories d’évènements pour répondre aux besoins du pôle.

La liste des thèmes de scénarios du Groupe peut guider le choix des scénarios pour certaines

entités.

Les scénarios liés aux pertes de moyens d’exploitation et aux défaillances des SI doivent être

réalisés en coordination étroite avec les équipes PCA des pôles.

Les principes suivants doivent être respectés par la SGBS lors de l’identification des

scénarios:

Réaliser en priorité des AS sur les catégories d’événement dont le nombre de

pertes internes est faible (moins de 100 pertes au niveau du Pôle)

Ces AS permettent de compléter les données nécessaires au calcul du capital règlementaire

AMA et au pilotage des risques opérationnels.

Ces scénarios permettent de fiabiliser la distribution de pertes d’une maille donnée (catégorie

d’événement de risque pour le pôle); il est recommandé de définir des scénarios sur des

événements de risques potentiellement élevés (fortes sévérités, fréquence faible). Néanmoins,

le critère primordial doit rester l’utilité de la réalisation d’une AS afin de pouvoir réduire

significativement le niveau de risque de survenance de pertes opérationnelles dans le cadre

d’un pilotage efficace du RO de l’entité concernée.

Réaliser des AS sur les « zones de risque » identifiées

Une zone de risque est définie comme le croisement d’une catégorie ou sous-catégorie

d’événement de risque et d’une ou plusieurs entité(s).

Les zones de risque doivent respecter au moins l’un des critères suivants (annexe 6) :

- Risque intrinsèque noté 4 (risque très élevé) ;

- Risque résiduel noté au moins 3 (risque élevé) ;




- Perte interne au moins égale à Y million d’€ sur la zone de risque ciblée ;

- Pertes externes importantes pouvant concerner la zone ciblée ;

- Rapports d’audit signalant des risques particulièrement importants ;

- Évolution de la règlementation touchant la zone concernée, susceptibles de générer de

nouveaux risques significatifs.

Réaliser des AS suite à un changement important au niveau de la SGBS ou de

l’environnement

Ces AS doivent permettre d’estimer les risques potentiels liés à des activités nouvelles ou

exercées dans de nouvelles conditions, notamment dans les cas suivants :

- acquisition d’une nouvelle entité ;

- implantation dans un nouveau pays ;

- mise en place d’un nouveau produit ou d’un nouveau métier exposé à des risques

spécifiques ;

- évolution du contexte règlementaire ;

- réalisation d’un événement de risque important ;

- changement significatif des activités du Groupe.

Autres critères de choix des AS

- mieux connaître l’exposition aux risques d’une entité ;

- répondre à une demande spécifique du management ;

- répondre à une demande des régulateurs locaux.

5.2.4. La collecte de pertes internes

La base des pertes du Groupe contient celles remontant à début 2001, période à laquelle le

processus de collecte a été initié sur un périmètre limité du Groupe. A partir du 1er janvier

2003, le processus de collecte a été étendu à toutes les entités du Groupe dont la SGBS.




5.2.4.1. Objectif de la collecte des pertes internes

La collecte des évènements internes de risques opérationnels répond à plusieurs objectifs :

- améliorer et renforcer le dispositif de contrôle afin de réduire les occurrences de pertes

provenant de la réalisation des évènements des risques opérationnels. La surveillance

et l’analyse des événements internes de risque opérationnel sont fondamentales pour

assurer une bonne maîtrise de l’exposition aux risques opérationnels du Groupe.

Collecter des données fiables et exhaustives permet au Groupe de connaître et de

suivre le coût de ses risques opérationnels liés soit aux défaillances opérationnelles,

soit aux événements externes. L’analyse des causes de pertes permet d’identifier et de

mettre en place les actions correctrices nécessaires ;

- constituer une base historique de données indispensables à la modélisation du calcul

des fonds propres règlementaires exigibles au titre du risque opérationnel ;

- satisfaire aux obligations règlementaires : La collecte des pertes internes est

obligatoire dès lors que nous sommes qualifiés en méthode avancée (AMA :

"Advanced Measurement Approach") pour le calcul du capital règlementaire éligible

au titre des risques opérationnels. Un historique de collecte des pertes sur 5 ans est

nécessaire dès lors qu’un établissement bancaire est validé en méthode avancée

(AMA).

5.2.4.2. Autres pertes internes

Il existe d’autres évènements de risques fournissant une information pertinente sur la fiabilité

des processus supportant les activités et permettant de mettre en évidence des faiblesses ou

des dysfonctionnements qu’il est important de corriger.

Les déclarations de pertes sont effectuées au fil de l’eau, dès lors qu’on a connaissance de la

réalisation d’un événement de risque. Les pertes doivent être validées au plus tard 3 semaines

après leur comptabilisation.

A travers ce chapitre, nous avons pu montrer le déroulement de chaque outil du dispositif de

gestion du risque opérationnel mis en place par la SGBS, depuis l’identification du risque

jusqu’au reporting transmit à BHFM. Par ailleurs, nous constatons que le risque opérationnel

peut provenir de chaque service de la banque, ce qui rend sa gestion délicate.




CHAPITRE 6 : EVALUATION ET PERFORMANCE DES OUTILS DU DISPOSITIF DE

GESTION ET DE PILOTAGE DU RISQUE OPERATIONNEL DE LA SGBS

La gestion du risque opérationnel bancaire n’est guère facile. La confusion entre les causes et

les effets (évènement perçus et impact) relève d'une incompréhension de la démarche et des

objectifs poursuivis par les régulateurs. La gestion des risques opérationnels ne peut se

permettre d'ignorer l'importance de la recherche des causes profondes et endémiques qui

créent les potentialités d'incidents ou leur caractère récurrent.

La difficulté que rencontrent certaines banques de la zone UEMOA à gérer le risque

opérationnel comme une discipline à part entière, notamment la SGBS, la pousse à la création

d’une fonction de gestion de ce risque.

Cette fonction de gestion du risque opérationnel, est devenue au sein de la SGBS un acteur clé

du processus du contrôle interne chargé de veiller à l'existence et à l'efficacité du dispositif

permettant de maitriser les risques opérationnels.

Ce dispositif regroupe plusieurs outils servant à la maitrise des risques opérationnels mais

dont leur processus d’application demeure complexe et lourd à utiliser.

6.1. Satisfaction de l’applicabilité des outils du dispositif de gestion du risque

opérationnel de la SGBS

Dans le cadre de la maitrise des risques opérationnels plusieurs outils sont utilisés à la SGBS.

Cela poursuit à certaines démarches à savoir :

- la mise en place d’approches qualitatives d’identification et d’évaluation des risques

opérationnels, qui permettent simultanément de sensibiliser et de responsabiliser les

agents opérationnels sur la gestion des risques ;

- l’élaboration d’approches quantitatives consistant à mettre en évidence le coût des

risques opérationnels et d’identifier les expositions aux risques et donc la

consommation de fonds propres.

Et dans ce cadre, la banque doit combiner à la fois l’expérience avec une vision prospective

du futur proche tout en disposant au quotidien d’outils d’alertes. Cependant, il serait pertinent

aussi de mesurer la satisfaction qu’apporte chacun de ces outils du dispositif à la SGBS.




6.1.1. Evaluation de l’auto évaluation des risques et des contrôles (RCSA)

Le RCSA joue un rôle important dans le dispositif de gestion des risques opérationnels de la

SGBS. Il permet d’élaborer la cartographie de risques des départements stratégiques de la

banque.

En effet, le RCSA constitue un processus visant à l’identification, l’évaluation et à la

hiérarchisation des risques opérationnels susceptibles d’avoir un impact sur le processus ou

sur toutes les lignes métier. À ce titre, cet outil représente un élément fondamental du

dispositif de gestion des risques et de contrôle interne de l’entreprise, car elle représente une

cartographie recensant l’ensemble des informations nécessaires, mais également contribue à la

prise de décisions en termes d’actions correctrices par rapport à des expositions aux risques

trop importantes ou insuffisamment maitrisées.

L’appréciation de l’exposition aux risques repose sur l’évaluation de la fréquence de

survenance des risques et de l’impact financier au regard du dispositif de maîtrise mis en

œuvre. De ce fait, l’évaluation des risques débute souvent par celle des risques bruts ou

intrinsèques, qui sont les risques qui pèsent sur l’activité, abstraction faite de tout dispositif de

maîtrise existant. La prise en considération des dispositifs de maîtrise conduit ensuite à

réévaluer ces risques, que l’on appelle alors les risques nets ou risques résiduels.

l’évaluation des risques intrinsèques

L’évaluation repose sur une approche dynamique par montant de perte maximal estimé,

rapporté au PNB annuel. Le tableau ci-apres fourni la grille d’évaluation des risques

intrinsèques selon les pourcentages de la SGBS.

Tableau 6 : Grille d’évaluation des risques intrèseques

4 Très Élevé > 5% du PNB annuel

3 Élevé Entre 2% et 5% du PNB annuel

2 Modéré Entre 0,5% et 2% du PNB annuel

1 Faible < 0,5% du PNB annuel

0 Non Exposé N/A

Source : Note méthodologique gestion des risques opérationnels (p : 24) (document SGBS)




Néanmoins, cette évaluation revient à cartographier les risques intrinsèques identifiés.

L’exercice d’élaboration de la cartographie doit être suffisamment documenté pour permettre

sa revue par les instances de contrôle périodique, et les régulateurs français et locaux.

Pour chaque sous-catégorie, l’évaluation du risque intrinsèque s’appuie sur les éléments

décisionnels suivants :

- les pertes opérationnelles déjà constatées pour cette sous-catégorie ;

- les facteurs environnementaux les plus impactant.

La valorisation du profil des risques intrinsèques est réalisée selon une échelle de la banque

compatible avec l’échelle de sévérité du Groupe, ci-après :

Figure 3 : Echelle sévérité du groupe

Montant cumulé des pertes potentielles sur une année en €

Exemple échelle Pôle A

Exemple échelle Pôle B

Exemple échelle Pôle C

200 M < x 200 M < x Très élevé

50 M < x ≤ 200 M 50 M < x ≤ 200 M

Élevé 50 M < x Très élevé

10 M < x ≤ 50 M 10 M < x ≤ 50 M

Modéré 10 M < x Très élevé

10 M < x ≤ 50 M

Élevé

1 M < x ≤ 10 M x ≤ 10 M Faible 1 M < x ≤ 10 M

Élevé 1 M < x ≤ 10 M

Modéré

0,5 M < x ≤ 1 M 0,1 M < x ≤ 1 M

Modéré x ≤ 1 M Faible

0,1 M < x ≤ 0,5 M

10 K (ou 25 K) < x ≤ 0,1 M

10 K (ou 25 K) < x ≤ 0,1 M

Faible

Source : évaluation du RCSA niveau groupe (p : 9) document interne SGBS

Cette valorisation permet d’orienter les étapes d’auto-évaluation des contrôles et la

cartographie des risques résiduels en fonction des risques les plus significatifs.




Le niveau d’évaluation doit obligatoirement être commenté et justifié au niveau de chaque

sous-catégorie d’évènement en s’appuyant sur les éléments décisionnels.

Règles à respecter :

- aucune sous-catégorie ne pourra être évaluée comme « non exposée » dès lors qu’une

perte y a été rattachée ;

- lorsque qu’une perte > 100.000 y a été enregistrée ou lorsque le cumul des pertes de la

sous-catégorie dépasse 300.000, le risque ne peut pas être qualifié de « faible » ou

«modéré » que si la justification en est argumentée et détaillée.

Voici quelques exemples de réponses attendues (les montants sont en euros) :

Sous catégorie N°2 : pratiques commerciales inappropriées

Un litige oppose la banque à une contrepartie ou un client et porte sur la pratique

commerciale, non conforme à la déontologie.

• Eléments décisionnels

Pertes opérationnelles

enregistrées

Nombre Montant

Total 1 41 900

Découvertes en 2006 0 0

• Évaluation du RI 02 - Pratiques commerciales inappropriées :

Non exposé Faible Modéré Élevé Très élevé

X

Justification S’il y a des cas de recours auprès des tribunaux, les sommes en cause ne sont jamais élevées. La plupart des conflits se règlent en amont, à l’amiable.




Sous catégorie N ° 35 – vols / escroquerie / fraudes commises par des tiers

Cette sous catégorie rassemble une grande variété de fraudes commises par des tiers, ainsi que

des vols. Ces actes sont commis sans complicité du personnel.

• Éléments décisionnels

Pertes opérationnelles enregistrées Nombre Montant

Total 25 700.000

Découvertes en 2006 2 200.000

• Évaluation du RI 35 Vols/ escroquerie / fraudes commises par des tiers


Justification Grande vulnérabilité compte tenu de l’environnement économique et du peu de protection possible des agences et des moyens de paiement. Grand nombre de hold up dans le pays.

Sous catégorie N° 43- Pertes de services

Les évènements classés dans cette catégorie sont ceux dans lesquels l’interruption de la

capacité d’exploitation provient de l’indisponibilité de services vitaux pour l’exploitation

normale de l’activité telle que la défaillance d’un prestataire de service.

• Éléments décisionnels

Pertes opérationnelles enregistrées

Nombre Montant

Total 1 23.765

Découvertes en 2006 0 0

• Évaluation du RI 43 - Pertes de services


X

Justification Forte dépendance vis-à-vis de fournisseurs uniques sur le territoire (IT et transport de fonds)




évaluation de scorecard

A l’identification des risques intrinsèques succède l’évaluation de la qualité des dispositifs de

prévention et de contrôle présents au sein de la SGBS.

L’analyse de scorecard permet :

- l’identification des zones de faiblesses du dispositif ;

- la détermination des plans d’actions correctrices.

Cette phase contribue à définir les axes d’amélioration pour renforcer le dispositif de contrôle

interne qui, en théorie, doit amener à la couverture optimale du risque intrinsèque.

L’évaluation de la qualité des dispositifs de prévention et de contrôle est obtenue par

consolidation des notes des différentes questions et facteurs de risques selon les règles

suivantes :

- la note d’un facteur de risques est la moyenne arithmétique des notes de ses questions ;

- la note d’une sous-catégorie d’événement est la moyenne arithmétique des notes

pondérées de ses facteurs de risques attachés et applicables. En l’absence de

pondération précisée pour les facteurs de risques d’une sous-catégorie d’événement,

ces facteurs de risques sont réputés équipondérés ;

- la note d’une catégorie d’événement est la moyenne arithmétique des notes de ses

sous-catégories d’événement.

Pour actualiser l’évaluation de l’efficacité du dispositif de prévention et de contrôle d’une

sous-catégorie, il convient tout d’abord de récupérer toutes les questions des scorecards en

rapport avec cette sous-catégorie. Dès lors, chaque question de la scorecard devra être revue

et réévaluée par rapport aux critères qualitatifs. Les notations seront ainsi revues au cas par

cas et les scorecards actualisées.

En termes de délai de traitement, la SGBS dispose de 3 mois pour réaliser l’ensemble des

scorecards qu’il s’agisse d’un premier exercice ou de la mise à jour annuelle des évaluations.




Lors de l’évaluation de l’efficacité du dispositif de prévention et de contrôle des risques, les

opérationnels pourront se baser sur les éléments suivants pour évaluer l’efficacité des

contrôles :

- existence du contrôle (procédure, contrôle manuel/visuel, outil) : inexistant / existant ;

- degré d’exhaustivité : partiel / complet ;

- réalisé par une personne/entité indépendante, non impliquée dans le processus :

Oui/Non ;

- traçabilité des contrôles/Formalisation : Oui/Non ;

- formation du personnel : Oui/Non ;

- existence d’un outil : Oui/Non ;

- automatisation du contrôle : Manuel/Semi-automatique/Automatique ;

- contrôle réalisé : A priori/A posteriori.

évaluation des risques résiduels

Cette évaluation prend en compte pour chaque sous-catégorie d’événement (SCE) :

- son niveau de notation des risques intrinsèques

- sa note consolidée correspondante du dispositif de prévention et de contrôle

(scorecard).

Pour ce faire, il est mis à la disposition de chaque filiale dont la SGBS, un outil de simulation

calculant automatiquement son niveau de risques résiduels par SCE à partir de la cartographie

des RI et de la scorecard précédemment établies. Cet outil intègre les règles de calcul :

Note de RR par SCE : le calcul du Risque résiduel au niveau de la SCE s’effectue par le

rapport Note de RI sur Note de l’environnement de contrôle. La note moyenne de

l’environnement de contrôle au niveau de la SCE étant le résultat de la moyenne des notes des

questions rattachées à chaque FR retenu pour la SCE. Les moyennes des FR sont ensuite

sommées puis divisées (avec pondération des FR) par le nombre de FR pour obtenir la note

moyenne de la SCE.

Cette note est pondérée automatiquement (par un coefficient de correction) pour les SCE dont

le RI est « élevé » ou « très élevé » afin de prendre en considération le fait que dans ce cas le

meilleur dispositif de contrôle et de prévention ne puisse jamais couvrir entièrement le risque.




Note RR par CE : le calcul se fait par la somme des moyennes des notes de RR des SCE

divisée par le nombre de SCE exposées au RI.

6.1.2. Les règles d’évaluation d’un indicateur clé de risque (KRI)

Les indicateurs clés de risque, mettent en évidence l’évolution de l’exposition de la banque à

un risque. Ils permettent d’anticiper la réalisation d’un risque par le biais du système d’alerte

associé.

Pouvant être de deux natures, ils offrent une évaluation régulière de l’évolution du risque lui-

même ou encore de l’environnement de prévention et de contrôle. Ils permettent ainsi de

détecter une situation anormale avant qu’un incident ne survienne.

Afin de garantir la pertinence et l’efficacité du KRI, le responsable des risques opérationnels

de la SGBS s’assure que :

- les indicateurs de risques reflètent réellement et significativement l’exposition au

risque des métiers concernés;

- les indicateurs de risques sont fondés sur des données fiables ;

- la fréquence de rafraichissement est suffisamment élevée et adaptée pour garantir une

information fluide, permettant de prendre rapidement des décisions.

Pour chaque KRI identifié, des règles d’évaluation doivent être définies et documentées

(Annexe 4 – Caractéristiques des KRI), en précisant notamment :

- un objet : la justification de la mesure

- les risques opérationnels faisant l’objet de ce KRI, en se référant aux référentiels RO

ou RCSA

- un périmètre d’entités sur lequel portent les observations. Pour la plupart des filiales

BHFM, le périmètre du KRI est l’entité organisationnelle correspondant à la filiale

- une unité de mesure : nombre, fréquence, taux, montant…

- sa fréquence de calcul : les fréquences d’observation et d’analyse d’un KRI (quotidien,

hebdomadaire, mensuelle, trimestrielle…) doivent être proportionnées à la sensibilité

des risques sous-jacents et aux évolutions des facteurs de l’environnement interne ou

externe (actualisation des données, réduction des délais de remontée de

l’information…).




- ses règles de calcul et d’agrégation par entité, si besoin ; un KRI doit autant que

possible être ramené à un niveau d’activité de l’entité (PNB, frais généraux, effectifs,

volume d’activité, nombre de transactions...).

- un responsable nommément désigné (contributeur)

- une fréquence de reporting ou un seuil minimal de reporting ou de suivi à partir duquel

il doit faire l’objet d’un suivi (reporting systématique ou ponctuel…)

- un circuit de reporting

- une norme ou benchmark, pouvant être établie de façon spécifique à un KRI, pour un

périmètre donné

- un seuil d’alerte, au-delà duquel un KRI doit faire l’objet d’un suivi spécifique

(procédure d’escalade) et déclencher d’éventuelles actions correctrices. La définition

des seuils d’alertes doit être en particulier cohérente avec la politique de gestion des

risques.

- La norme et le seuil d’alerte ou de déclenchement d’action correctrice peuvent être

déterminés dans l’absolu par rapport à un niveau à atteindre ou ne pas dépasser ou

alors par référence aux niveaux historiques.

6.1.3. Analyse et évaluation de scénarios

L’analyse de scénarios constitue le « filtre » ultime d’approfondissement des risques identifiés

par la banque.

L’analyse de scénarios sur les risques opérationnels significatifs s’inscrit dans la finalité de la

démarche itérative de risk management. Elle permet à la SGBS d’identifier les cheminements

possibles des risques, les facteurs d’amplification éventuels et ainsi d’optimiser les leviers de

réduction.

Dans sa mise en œuvre, l’analyse de scénariis implique de forts niveaux d’expertises

nécessitant, comme dans l’analyse de tout système complexe, l’association de compétences

internes voire externes.

Les scénarios sont souvent associés au modèle interne sur les risques forfaitaires

opérationnels. Or, compléter une démarche par l’utilisation de scénarios, s’avère être

réellement pertinent.




Les grandes étapes de l’analyse de scénario consistent à :

- Décrire avec précision et de manière compréhensible par tous, l’événement de risque

et ses conséquences pour la filiale (sigles et abréviations à bannir),

- Caractériser l’événement de risque par au minimum 3 fréquences d’occurrence ou

temps de retour, associés à autant de sévérités (chaque sévérité est reliée à chacune des

fréquences d’occurrence ou temps de retour).

La fréquence se définit par le nombre d’occurrences d’événement de risque sur une période

donnée (ex : 3 fois par an) ; le temps de retour traduit l’intervalle de temps (en année) entre

deux occurrences de l’événement de risque (ex : 1 fois tous les 3 ans) ; la sévérité est le

montant de perte, conséquence de la survenance d’un événement de risque.

- identifier et évaluer les différents types d’impacts financiers ;

- présenter les montants et les fréquences d’occurrence (ou temps de retour) des pertes

du scénario, conformément au format défini en Annexe 1, afin de pouvoir les intégrer

dans le calcul du capital réglementaire AMA au niveau du Groupe ;

- identifier les mesures prises pour réduire le risque (par ex, renforcement de la

Surveillance Permanente, PCA, toute mesure formalisée accroissant la maîtrise des

risques, couvertures d’assurance Groupes/locales…) ;

l’évaluation du scénario doit être justifiée par des éléments internes et/ou externes objectifs et

vérifiables aussi factuels que possible, comme :

- les pertes similaires subies par le pôle21 ou les données de pertes externes ;

- la qualité des contrôles mis en place ;

- le niveau des indicateurs de risque ;

- la quantification des ressources impactées (personnels, systèmes d’information, locaux

/ matériels, fournisseurs).

21 Cette information peut être obtenue auprès de BHFM/ROC




L’évaluation d’une AS doit respecter les règles suivantes :

Cohérence entre les pertes estimées dans l’AS et les données de pertes

Le chiffrage de l’AS effectué, doit être comparé aux pertes disponibles afin de garantir une

vraisemblance des estimations.

L’étude d’un scénario pouvant consister à rechercher une perte extrême pour l’entité, il est

probable que les temps de retour et sévérités (montants de la ou des pertes opérationnelles du

scénario) seront différents des montants et temps de retour des pertes internes. Il est donc

indispensable de justifier avec clarté et de manière détaillée les calculs et le choix de chaque

temps de retour associé à chacune des hypothèses étudiées (1 temps de retour pour 1

hypothèse).

Utilisation des règles Groupe pour les chiffrages et le calcul du capital.

Tableau 7 : Typologie des types de pertes à identifier et à chiffrer

Type de perte Règle de prise en compte dans le calcul du K

Perte d’immeuble, de mobilier ou matériels endommagés ou détruits

100% - Prévoir une ligne séparée dans les chiffrages

Pertes de PNB - Pertes de PNB non-récupérables : 100% ;

- Pertes de PNB récupérables : 0%. Remise en état de matériels et des locaux 100% Location de nouveaux locaux et de locaux de secours 100% Aménagement de nouveaux locaux - Aménagement temporaire : 100% ;

- Aménagement permanent : 0%. Dépenses liées aux personnels (selon scénario : Dédommagement de dépenses, soutien psychologique, Frais d’obsèques, Frais d’hébergement et de déplacements…)

100%

Frais de recrutement pour le remplacement du personnel 100% Pertes connexes à l’événement de risque opérationnel initial 100%




Les pertes de différentes natures sont agrégées dans la catégorie du risque de

l’AS

L’évaluation de la sévérité du scenario tient compte des impacts financiers directement liés à

l’événement et des impacts connexes à l’événement initial (principe de cohérence avec la

politique de « collecte des pertes internes ».

Exemple : Un incendie survient dans un immeuble occupé par des services de la filiale

(scénario appartenant à la catégorie « Perte de moyens d’exploitation »); il provoque à la fois

une destruction des locaux (impacts directs), des erreurs d’exécution dues à la panique et des

litiges avec des clients (impacts indirects)…L’ensemble de ces pertes est regroupé et classé

dans la catégorie « Perte de moyens d’exploitation »..

Prise en compte des Plans de Continuité d’Activité (PCA)

Les AS (et notamment celles relatives aux « pertes de moyens d’exploitation », « défaillance

de SI ») doivent tenir compte du dispositif PCA existant permettant de limiter les impacts :

- sur la survenance et sur la durée de la crise ;

- sur le périmètre touché et la sévérité du scénario.

Dans le cas d’une problématique purement PCA, ces informations doivent faire l’objet d’une

vérification et validation formelle du responsable PCA. Cette validation est à produire dans le

cadre des éléments justificatifs de l’analyse de scénario.

Les comptes-rendus de tests des PCA indiqués dans l’analyse de scénario en tant que mesure

d’atténuation du risque doivent être produits en pièce justificative de l’AS.

Prise en compte de la couverture des assurances

Les contrats d’assurance sont acceptés sous réserve du respect des critères bâlois, notamment:

- le rating affecté à la capacité d’indemnisation de l’assureur est au minimum A (ou

équivalent) ;

- la police d’assurance doit avoir une durée initiale d’au moins 1 an, avec une période de

préavis de résiliation d’au minimum 90 jours ;

- l’assurance est fournie par une entité tierce.




Risques frontières (Risques de crédit et de marché)

Dans le cadre d’une AS, les règles de prise en compte des pertes suivent les règles de prise en

compte des pertes internes, en particulier :

Les pertes opérationnelles liées à des risques de crédit ne sont pas retenues pour le calcul du

capital AMA.

Les pertes opérationnelles liées à des risques de marché sont retenues pour le calcul du capital

AMA.

6.1.4. Collecte des pertes internes

Dans le cadre d’une bonne gouvernance, il est nécessaire de définir une procédure qui

permette la remontée des alertes pour gestion selon leur criticité.

La mise en œuvre de collecte de pertes internes de la SGBS se fait :

- par l’organisation de la base de collecte des données d’incidents en définissant les

rôles et responsabilités dans la détection et caractérisation des incidents ;

- en définissant le périmètre de la notion d’incidents, seuil de collecte, quasi-pertes,

manques à gagner, etc. ;

- en proposant des méthodes d’évaluation des impacts et de prise en compte des

incidents « complexes ».

6.2. Forces et faiblesses des outils du dispositif de gestion des risques opérationnels

Au cours du stage effectué, nous avons eu à relever certaines forces et faiblesses du dispositif

de gestion du risque opérationnel de la SGBS, ces dernières sont détaillées dans les tableaux

qui suivent :




Tableau 8 : Synthèse du cadre méthodologique du risque opérationnel

Bilan

Eléments Forces de la SGBS Faiblesses de la SGBS

Vision d’ensemble

- la SGBS est conforme aux normes du

Groupe SG qui est en conformité avec

le Comité de Bale

-la méthodologie du risque opérationnel de la SGBS n’est pas totalement adaptée aux

caractéristiques de l’environnement bancaire sénégalais, car la SGBS est filiale de la

Société Générale qui s’inspire des accords de Bâle 2, or les banques sénégalaises telle

que la SGBS sont encore à Bâle 1 et tente de converger vers Bâle 2

les agents

opérationnels

Le dispositif de gestion des risques

opérationnels de la banque concerne

tous les acteurs de la banque bien qu’il

y ait un département risque

opérationnel ce qui permet d’intégrer

tout le personnel à la maitrise de ce

risque

- nous observons de lourdes taches effectuées par le Responsable Risque

Opérationnel dans l’utilisation de certains outils du dispositif, par exemple le fait de

recueillir les données du RCSA que doit remplir tous les opérationnels concernés

(cumul de taches)

- on note certains manquements à l’application des procédures par exemple les

opérationnels ne respectent pas le délai de reporting du RCSA aux responsables

risque opérationnel ce qui peut entrainer un retard au niveau de la transmission à

BHFM.

Organisation

structurelle

-Le RRO est sous la supervision du

contrôle permanent rattaché au

Secrétariat général




Tableau 9 : Synthèse sur le processus de gestion des risques opérationnels

Bilan

Eléments FORCES FAIBLESSES

Enchainement des

étapes

- La méthodologie de la SGBS en matière de gestion des RO respecte les

étapes générales d’un processus de gestion des RO selon les saines pratiques

du comité de Bale

- la banque n’admet aucune tolérance quant à chaque type de risque

opérationnel défini par le comité de Bale

- -L’étape d’élaboration d’un tableau de bord « RO » est formalisée dans la

politique de la banque. Le reporting est effectué au niveau filiale et Groupe

- La cartographie est formalisée par l’auto-

évaluation des risques et du contrôle, ce

qui rend l’outil difficile à utiliser

- l’étape de définition des plans d’actions

n’est pas incluse dans la méthodologie de

gestion

Politique de gestion

des risques

opérationnels

- l’ensemble du dispositif de gestion des risques opérationnels de la SGBS est

sous-tendu par une politique de gestion desdits risques définie par le Groupe

pour toutes ses filiales ;

- la politique du groupe inclut des acteurs dont les responsabilités sont

clairement définies dans le processus de gestion de chaque filiale dont la

SGBS ;

- cette politique prévoit la mise en place d’un outil d’aide à la prise de décision

bien que faisant mention du reporting qui doit être périodiquement effectué

Le positionnement du Responsable Risques

opérationnels n’est pas défini par la

politique de gestion ce qui engendre un

cumul de taches pour ce dernier.




Tableau 10 : Synthèse sur les outils du dispositif de gestion

BILAN

ELEMENTS FORCES FAIBLESSES

Auto-évaluation des risques et contrôles

(RCSA)

-La pertinence de commencer toute démarche ou tout processus de gestion des risques opérationnels par une première évaluation des risques et contrôles ; - cet outil permet à la banque de déceler les failles des procédures ce qui permet au RRO d’anticiper ou de minimiser la survenance des RO - on note une diversification de la typologie de risques vu que la SGBS suit les normes du Comité de Bale

-le RCSA est un outil complet mais lourd en termes d’utilisation et complexe pour le personnel de la banque -Le reporting RCSA est transmis tous les 2ans à BHFM ce qui est très lent -la diversification de la typologie de risque ne prend pas réellement en compte l’environnement bancaire sénégalais -aucune tolérance n’est faite sur les risques opérationnels pour chaque ligne métier

KRI

-Pour chaque KRI il existe une fiche d’identité permettant de diffuser l’intérêt de l’indicateur et l’objectif de la mesure ; -les indicateurs sont fiables et utiles cela s’explique par les seuils et les limites d’alertes qui ont été fixés par BHFM pour résoudre les incidents

-on note dans le dispositif, l’absence d’une mise en place de plan d’actions formalisée afin de permettre à la banque de ramener le risque à un niveau raisonnable

Analyse des scénarios -contribuer au calcul du capital exigé au titre de la couverture du risque opérationnel et de renseigner le Groupe sur ses zones de risques potentiels

On note la non maitre de l analyse des scenarios par le personnel ce qui augmente le risques opérationnels

Collecte des pertes internes

- permet au Groupe de connaître et de suivre le coût de ses risques opérationnels liés soit aux défaillances opérationnelles - L’analyse des causes de pertes permet d’identifier et de mettre en place les actions correctrices nécessaires

Difficile à réaliser par le personnel ce qui engendre de sérieuses pertes pour la banque




6.3. Recommandations

Après l’évaluation faite sur le dispositif de gestion du risque opérationnel de la SGBS, nous

remarquons que le dispositif de manière générale est fiable. Mais nous avons eu à voir

quelques faiblesses au cours de notre stage. Et donc pour améliorer ce dispositif mis en place

nous émettrons quelques recommandations.

Recommandations par rapport au cadre méthodologique des risques opérationnels de

la SGBS

- la SGBS devrait formaliser un cadre référentiel du risque opérationnel répondant à

l’environnement bancaire sénégalais sachant qu’elle ne fait pas face aux mêmes

réalités que la société mère ;

- L’application de toutes les procédures, pourrait contribuer à l’optimisation de la

gestion des risques, en ce qui concerne ce point, nous suggérons à la banque de veiller

au renforcement de la connaissance des procédures de celle-ci du personnel ;

- Nous suggérons à la banque de veiller à la séparation des taches pour qu’il n’y ait pas

de cumul de fonctions au niveau des personnes ressources, car cela permettrait d’éviter

les fraudes.

Recommandations par rapport au processus de gestion des risques opérationnels de

la SGBS

L’auto-évaluation de risque et contrôle étant formalisée par un ensemble de cartographie des

risques, rend son utilisation complexe, donc nous suggérons à la banque de mettre à la

disposition un fichier RCSA à chaque agent opérationnel pour qu’il le remplisse de manière

régulière.

Contrôler les visites à l’agence afin de constater la mise en place d’une sécurité opérationnelle

(condition de travail, sécurité au travail et tous autres aspects susceptibles d’engendrer des

pertes opérationnelles pour la banque).

Nous suggérons que le Responsable Risque Opérationnel établisse un tableau de bord mettant

en relief des informations sur l’existence et l’utilisation d’un dispositif d’assurance sur la

description de l’environnement de gestion des risques opérationnels.




Nous suggérons à la banque de renforcer la sensibilation et la formation en continu des agents

de la structure concernant la gestion du risque opérationnel.

Recommandations par rapport aux outils du dispositif de gestion des risques

opérationnels de la SGBS

Nous suggérons au Responsable Risque Opérationnel d’organiser des formations tout les mois

aux agents opérationnels de la banque sur le RCSA vu qu’il touche les départements

stratégiques de la banque, en ce qui concerne le reporting RCSA fait à BHFM, nous pensons

qu’il serait mieux de le transmettre chaque année voire semestriellement pour que la Société

mère et sa filiale sachent les procédures manquantes.

Nous suggérons que les axes d’analyse des résultats issus de la cartographie des risques,

conduisent à étudier au cas par cas si le risque résiduel subsistant est acceptable ou non. Cela

permettrait de déterminer les priorités afin d’améliorer le dispositif existant via l’élaboration

de plans d’actions.

Nous pensons que l’impact image doit être plus en exergue dans le processus de gestion des

incidents

Il serait important de mettre en place un système de collecte des données externes aussi, pour

cerner les risques externes que peuvent rencontrer la banque.

Dans ce chapitre, il a été question de montrer le degré de satisfaction de chaque outil du

dispositif de gestion du risque opérationnel de la SGBS. Pour ce faire, par des tableaux de

synthèses, nous avons fait ressortir les forces et faiblesses relevé dans le dispositif et des

recommandations ont été émises par rapport à ces dernières.




Conclusion de la deuxième partie

Cette étude fut intéressante, car elle nous a permis de comprendre que les dispositifs, bien que

règlementaire, dépassent largement les objectifs de conformité ou de calcul des fonds propres,

mais s’inscrivent dans une dynamique de sécurisation de l’activité. Et c’est là où se trouve

l’enjeu d’une démarche de gestion et de pilotage des risques opérationnel.

Le but de cette deuxième partie, a été de connaitre de manière générale l’application des outils

du dispositif de gestion des risques opérationnels mis en place par la SGBS, de la satisfaction

de ces derniers ainsi que de faire ressortir les failles de ce dispositif. Cette démarche a été

possible grâce aux outils préalablement définis dans notre modèle d’analyse.

Cette partie nous a permis également de mettre en application notre démarche et d’aboutir à

l’évaluation du processus de gestion et le pilotage du risque opérationnel et d’émettre des

recommandations pour améliorer les failles du dispositif.


CONCLUSION GENERALE




La gestion des risques en général et dans le secteur financier en particulier est reconnu comme

un facteur de succès stratégiquement important. Les effets de la globalisation, de l'instabilité

climatique, de la montée du terrorisme, de la crise financière, de la multiplication des

nouvelles technologies ont provoqué un accroissement relatif du risque opérationnel.

L’attention des institutions financières s’est déplacé des risques de marché aux risques

opérationnels en passant par les risques de crédit. Telle est le cas de la SGBS qui est

quotidiennement à la recherche de concepts plus efficaces pour la réduction de

dysfonctionnements opérationnels.

En effet, la SGBS a compris qu’un risque opérationnel mal apprécié pouvait entraîner des

conséquences gravement préjudiciables à la banque, d’où la mise en place du dispositif. En

raison de ses caractéristiques complexes, les risques opérationnels sont difficilement

saisissables. La gestion systématique des risques opérationnels ainsi qu’une affectation

appropriée des capitaux propres se trouvent donc au centre de l’intérêt.

Aux cours de nos travaux nous avons rencontré de nombreuses difficultés, parmi lesquelles la

divergence des points de vue sur la notion du risque opérationnel, le fonctionnement du

dispositif de gestion du risque opérationnel de la SGBS ainsi que ses outils. Cependant notre

étude à été limité, du fait de la durée de suivi des outils du dispositif de gestion tel que le

RCSA, qui s’étale pratiquement sur toute l’année. Mais nous avons pu réaliser cette étude

grâce à la littérature mis à notre disposition par la banque.

Il est clair cependant, qu'il n'existe pas, et qu'il n'existera probablement jamais, de solution

«clés en main» face à ce type de risque. Simplement, il est indéniable qu'en actionnant une

infrastructure de support et en réduisant leur temps de réaction, les banques font un premier

pas vers une stratégie globale plus performante.


ANNEXES




Annexe 1 : Organigramme SGBS

1

Trésorerie

S.G.B.S Mars 2011

Direction de l’Exploitation et du Réseau

Direction Générale

• Directeur Général• Directeur Général Adjoint

Qualité et RSE

Direction Finances

Direction des Risques

Responsable du Marché des Entreprises

Responsable de l’ Animation du

Réseau

Responsable du Marché Clientèle

Privée et des Professionnels

Comptabilité

Contrôle deGestion

Service Clients

Crédits et Services

Moyens de Paiement

Secrétariat Général Juridique

Contrôle permanent

Direction Logistique et Organisation

Immeubles,MG

& Logistique

Achats

SupportAdministratif au Réseau

Direction des Traitements Bancaires

SécuritéPortefeuille

Etranger

Monétique

C S M

Projets etOrganisation

Ressources Humaines

Com Externe

Marketing

D C P E

SupportInformatique

ProjetManko




Annexe 2 : Organigramme du service Contrôle Permanent

Contrôle permanent

Contrôle permanent

des CSM

Contrôle permanent

des Services

Contrôle

permanent réseau

Risques

Opérationnels

Conformité/LAB/FT

PCA

Surveillance

Permanente

Unité Mobile

d’assistance




Annexe 3 : Cartographie des risques intrinsèques : Liste indicative des responsables opérationnels concernés par catégorie d’événement

Litiges commerciaux

Responsable juridique Responsable conformité Responsables commerciaux (CLICOM CLIPRI) Responsable achats

Litiges avec les autorités

Responsable juridique Fiscaliste Responsable conformité Secrétaire général Responsable AML Responsable des relations humaines Chef comptable Contrôleur de gestion

Erreurs de "Pricing" ou d'évaluation du risque

Responsable des risques Responsable des back-offices Responsable des opérations de marché

Erreurs d’exécution

Responsable des back-offices Responsables commerciaux (CLICOM CLIPRI) Contrôleur de gestion Chef comptable Responsable des achats Responsable des relations humaines Secrétaire général Responsable organisation Responsable des immeubles et de la sécurité

Fraudes et autres activités criminelles

Responsable IT Responsable des back-offices Responsables commerciaux (CLICOM CLIPRI) Contrôleur de gestion Chef comptable Responsable des achats Responsable des relations humaines Secrétaire général Responsable organisation Responsable des immeubles et de la sécurité

Rogue trading Responsable des back-offices Responsable des opérations de marché

Pertes de moyens d'exploitation

Responsable IT Responsable PCA Secrétaire général Responsable des achats Responsable des immeubles et de la sécurité Responsable organisation

Défaillance des systèmes d'information

Responsable IT




Annexe 4 : Exemple de KRI

Catégorie

d'événement SG

Sous-catégorie d'événement SG Exemples de KRI

Litiges

commerciaux

1 Litiges sur activités de conseil Nombre de litiges juridiques en cours

Nombre de plaintes reçues (demandes de

compensation)

Nombre de réclamations clientèle ayant débouché

sur un litige commercial

2 Pratiques commerciales inappropriées

3 Inadéquation des produits proposés

4 Insuffisance du service au client

5 Autres litiges avec un tiers (fournisseur,

prestataire…)

6 Contrat ou clauses contractuelles

inapplicables

Litiges avec les

autorités

11 Non respect des règles de fonctionnement des

marchés organisés (actions, futures,

marchandises, obligations, etc.)

Nombre de réclamations reçues

Amendes liées au non respects des normes de

marchés organisés

Cas de litiges ou non-conformité aux règles ou lois

Sanctions imposées et actions juridiques associées

Nombre de transactions suspectes

13 Non respect d'autres lois (non citées dans

cette catégorie d’événement)

14 Non respect des exigences réglementaires

locales ou françaises

17 Blanchiment (interne et externe) et

financement du terrorisme

Erreurs de Pricing 18 Défaillance dans le dispositif de gestion et de

suivi des autorisations et des limites

Cas de dépassements de limites

19 Évaluation incorrecte ou inexistante de la

position

Ecarts dans les réconciliations Front/Back-office

21 Modèle de calcul de prix ou de valorisation

erronés

Montant des positions valorisées en utilisant des

modèles non validés

Degré de complexité et de « maturité » des

produits et instruments commercialisés / utilisés

Erreurs

d'exécution

22 Défaillance dans le processus de

livraison/règlement de la banque

Ecarts dans les réconciliations des comptes nostri

en dépassement

Niveau d’utilisation des systèmes de paiement




23 Défaillance dans les processus de gestion des

confirmations d'opérations

Nombre de confirmations manquantes (émises ou

reçues)

Ecarts sur rapprochement des confirmations

(émises ou reçues)

Capacité à traiter l’activité avec des systèmes STP

(circuits automatisés de bout en bout)

24 Défaillance dans la gestion administrative

d’une opération jusqu’à son échéance

Degré d’automatisation / industrialisation des

processus

Degré de complexité et de « maturité » des

transactions et/ou des circuits de traitement

25 Erreurs dans la transmission, la saisie ou la

compréhension d'une instruction

Nombre d'anomalies dans les compte-rendus

d'erreurs

27 Absence ou inexactitude des rapports d'erreur

dans les chaînes informatiques

Ecarts dans les réconciliations avec des tiers

externes

29 Défaillance dans la conservation pour compte

de tiers de documents / valeurs

Ecarts dans les réconciliations avec les dépositaires

et conservateurs

31 Défauts de rapprochement Suspens présent depuis plus de X jours

Fraudes 35 Vols / escroqueries / fraudes commis par des

tiers

Taux de transactions frauduleuses sur un ensemble

de transaction

Nature des canaux de distribution (vente à

distance…) 36 Vols par le personnel

37 Fraude sur des transactions par le personnel

ou avec sa complicité

38 Utilisation non autorisée / à mauvais escient

d'information privilégiée et confidentielle par

le personnel

Pertes de moyens

d'exploitation

40 Défaut de personnel Niveau de couverture des postes / postes vacants

Turnover du personnel

Recours aux travailleurs temporaires

42 Pertes des moyens d’exploitation Niveau de concentration géographique

Nombre d’intervention des équipes de maintenance

Durée d’indisponibilité d’équipements clés

43 Perte de services Niveau de dépendance vis à vis de prestataires et

fournisseurs externes par service clé




Défaillance des SI 44 Défaillance de matériel Pannes ou indisponibilité du système d'information

Jours de travail perdus suite à des données non

disponibles

46 Mauvaise gestion de projet Dépassement

47 Défaillance des software Nombre d'interventions des supports informatiques

Durée d'indisponibilité des applications

48 Faiblesse de la sécurité logique Fréquence des attaques de virus

Fréquence des violations d’accès / violations de la

sécurité logique / piratage




Annexe 5 : Questionnaire d’enquête

1/ Pensez vous que la banque a connu une baisse des risques opérationnels au cours de ces

dernières années ?

□ Oui

□ Non

2/ Parmi les trois méthodes d’allocation des fonds propres que propose le comité de Bale,

laquelle vous semble être la plus efficace ?

□ La méthode BIA (approche de base)

□ La méthode TSA (approche standard)

□ La méthode AMA (approche de mesure avancée)

3/ Dites pourquoi après avoir choisit une méthode

4/ Trouvez vous des inconvénients à la règlementation du comité de Bale ?

□ Oui

□ Non

5 / Si oui dites lesquels

6/ Trouvez vous les outils de mesure des risques opérationnels très performent ?

□ Oui

□ Non

7/ Pensez vous que le dispositif de gestion du risque opérationnel mise en place par la banque,

conforme au texte bâlois présente quelques failles ?

□ Oui

□ Non

8/ Expliquez-vous

9/ Quelle est l'approche retenue pour la mise à jour du dispositif et son adaptation aux

mutations de l'environnement externe ?

10/ Comment voyez-vous l'évolution du dispositif en place ?




Annexe 6 : Caractéristiques d’un KRI

Propriété Description ou commentaire

Identifiant Référence unique pour une même entité responsable

Nom Nom de l’indicateur

Description Description synthétique de l’indicateur

Objet Justification de la mesure

Entité Responsable L’entité organisationnelle responsable de mesurer et de

collecter cet indicateur

Personne à contacter En cas de question sur le KRI

Catégorie(s) d’événement Le ou les catégories d’événement pour lesquelles le KRI

permet d’évaluer le risque intrinsèque ou résiduel.

Sous-catégorie(s) d’événement Le ou les sous-catégories d’événement pour lesquelles le

KRI permet d’évaluer le risque intrinsèque ou résiduel.

Facteur(s) de risque concerné(s) Le ou les facteurs de risque pour lequel le KRI permet

d’évaluer la qualité du dispositif de prévention et de

contrôle.

Unité de mesure Nombre, fréquence, taux, montant (devise)…

Règles de calcul Description de ses règles de calcul et d’agrégation par

entité

Fréquence de reporting Fréquence ou seuil minimal de reporting ou de suivi à

partir duquel il doit faire l’objet d’un suivi (reporting

systématique ou ponctuel…)

Norme ou benchmark Peut être établie de façon spécifique à un KRI, pour une

entité donnée

Seuil d’alerte Seuil (valeur constatée ou variation) au-delà duquel un KRI

doit faire l’objet d’un suivi spécifique (procédure

d’escalade) et déclencher d’éventuelles actions correctrices.

Objectif Seuil ou évolution à atteindre, à une échéance fixée.




Annexe 7 : Glossaire

Evénement de risque opérationnel : Un événement de risque opérationnel est la

manifestation concrète de ce risque. Selon les cas, les pertes internes peuvent être associées à

un ou plusieurs événements.

Exemple : Une erreur d’ajustement sur un compte (un événement) provoque une perte.

Plusieurs erreurs d’ajustement faites par des personnes différentes (plusieurs événements)

génèrent plusieurs pertes sur une période donnée.

Catégorie d’événement (CE) : Manifestation concrète possible des risques opérationnels

d’une banque. Exemple : Fraudes

Sous-catégorie d’événement (SCE) : Déclinaison de chacune des catégories d’événements.

Exemple : Fraude sur des transactions par le personnel avec sa complicité.

Cartographie des risques : Profil de risques intrinsèques ou résiduels pour un périmètre

donné à une date donnée.

Risk and Control Self Assessment (RCSA):Ensemble des processus d’auto-évaluation des

risqué et des contrôles.

Risques Intrinsèques (RI) : Risques auxquels est exposée une activité de par sa nature et son

environnement opérationnel, en faisant abstraction de son environnement de prévention et de

contrôle.

Risques Résiduels (RR): Risques auxquels est exposée une activité après prise en compte de

ses dispositifs de prévention et de contrôle, abstraction faite des couvertures d’assurance.

Questionnaire métier (ou Scorecard (SC) métier) : Un questionnaire métier est l’ensemble

des facteurs de risques pertinents pour un « métier bancaire » (gestion d’actifs classique,

gestion garantie, banque de détail, banque commerciale…) ou un « métier fonctionnel »

(Ressources humaines, Systèmes d’information, etc.) Les questionnaires métiers ne doivent

pas être notés, mais constituent le référentiel pour la constitution des questionnaires entités.




Questionnaire entité (ou Scorecard entité (SE)) : Liste des facteurs de risque pertinents

pour l’entité, construits à partir des questionnaires métiers applicable à l’entité. Le

questionnaire entité est déterminé pour un périmètre donné défini par la sélection d’entités

(entité organisationnelle, ligne(s) métier, entité(s) juridique(s).

Facteur de risque relatif à l’environnement opérationnel (FR) : Elément susceptible de

modifier le profil de risque opérationnel d’une entité. Exemple : Evolution de la

règlementation, catastrophes naturelles, changements non anticipés dans les niveaux ou ratios

d’activité (volumes croissantes, changement de la taille des équipes), contraintes de volumes.

Facteur de risque relatif au contrôle interne : Elément susceptible de modifier le profil

d’une entité. Exemples : Insuffisance ou inadéquation des contrôles d’authentification de la

contrepartie ou du client.

Question : Question permettant d’évaluer un facteur de risque relatif au contrôle interne.

KRI : Key Risk Indicator ou indicateur clé de risque est une donnée objective et mesurable

devant permettre d’évaluer un ou plusieurs risques clé et ainsi améliorer leur pilotage.

Quasi-pertes : Evénements de risque opérationnel qui n’ont pas eu d’impact financier, mais

qui auraient pu en avoir un.


BIBLIOGRAPHIE




Ouvrages

1. BCBS (2006), Convergence internationale de la mesure et des normes des fonds

propres, dispositif révisé, Banque des règlements internationaux, presse et publication,

Bâle, juin 2006, 362 pages

2. Benoît A. Aubert, Jean-Grégoire Bernard 2004 ; Mesure intégrée du risque dans les

organisations

3. Bessis (J.) (1998) Risk management in banking, Wiley

4. Bratanovic Sonja Brajovic (2004), Van Greuning Hennie, Analyse et gestion du risque

bancaire, éditions Eska, Paris, 384 pages.

5. Cole Roger (2003), saines pratique pour la gestion et la surveillance du risque

opérationnel, Banque des règlements bancaires

6. Craig Churchill et Dan Coster (2001), Microfinance Risk Management

7. DE COUSSERGES Sylvie (2007), Gestion de la banque : du diagnostic à la

stratégie,5ième édition, Dunod, Paris, 272 pages.

8. De Servigny Arnaud, Metayer Benoit, Zelenko Ivan (2008), le risque de crédit,

Dunod, Paris, 299 pages

9. DESROCHES & al (2003), la gestion des risques principes et pratique

10. Desroches & al (2003), la gestion des risques principes et pratique

11. Domique Dechet ; Marie Bazetoux Revue financière (2006 volume 84).

12. Fautrat, Michel (2000), de l’audit interne au management de la maitrise de risques,

Revue française d’audit interne, n°148, P 24-27

13. Freddi Godet des Marais al (2004) ; Bâle II et les risques opérationnels

14. HAMZAOUI Mohamed (2008), Gestion des risques d’entreprise et contrôle interne

normes ISA 200 ,315 ,330 et 500, 2iéme édition, Pearson Education France, 288 pages.

15. Jean Charles Mathé (2010) ; analyse et management stratégique ; 205 pages

16. JIMENEZ Christian ; Patrick Merlier ; Dan Chelly (2008), « Risques

opérationnels : De la mise en place du dispositif à son audit ». Revue banque Edition,

271 Pages

17. JIMENEZ Christian ; Patrick Merlier ; Dan Chelly (2008), « Risques

opérationnels : De la mise en place du dispositif à son audit (2008).

18. King Jack l. King « Opérationnel Risk» (2001)

19. Kuritzkes (Wharton, 2002 « opérationnel Risk »)




20. LAMARQUE Eric (2008), gestion bancaire, 2e édition Pearson Education, 240 pages.

21. MADERS Henri-Pierres & Jean Luc MASSELIN (2009), contrôle interne des

risques : cibler, évaluer, organiser, piloter, maitriser, 2e Éditions d’Organisation, Groupe

Eroyelles ISBN, 261 pages.

22. Michèle GUIGUE 1995, Pages 270 ; Les mémoires en formation : entre engagement

professionnel et construction du savoir

23. Nicolet Marie-Agnès & Michel Maignan (2005), Contrôle interne des risques

opérationnels, Revue Banque, (668)

24. Oldfield et Santommero (1997) développent un cadre d’analyse des pratiques de

gestion des risques dans les institutions financières

25. Pricewatrehoussecoopers (2005), la pratique du contrôle interne, Edition

d’organisation, Paris, 337 pages.

26. RENARD Jacques (2004), Théorie et pratique de l’audit interne, 4ème Edition, Editions

d’Organisation, Paris, 462 pages.

27. RENARD Jacques (2010), Théorie et pratique de l’audit interne, 7iéme édition,

groupe Eyrolles 469 pages.

28. Revues finance : Tribune de Genève

29. RONCALLI Thierry, (2004), la gestion des risques financiers, Editions Economica

454 pages

30. SARDI Antoine (1998), Audit et inspection bancaire, édition Afges, 2ème édition ; tome

1&2 Paris

31. SARDI Antoine (2002), Audit et contrôle interne bancaires, éditions afges, Paris 1100

pages.

32. Vanini (Operational Risk: A Practitioner's View (Risque Opérationnel : débat des

définitions); 2002)

33. VERNIMMEN Pierre, Pascal QUIRY, Yann le fur (2010), Finance d’entreprise, 9

édition ; édition DALLOZ.




Document SGBS

1- Présentation du rapport annuel 2011 de la SGBS P : 5

2- réforme Bale 2 / Groupe Société Générale ; octobre 2005 ; P : 5

3- Classification détaillée des événements générateurs de pertes du texte de l'Accord Bâle

II, disponible sur le site de la Banque des Règlements Internationaux

4- La société générale et la gestion des risques opérationnels 2010

Webographie

http://affaires.lapresse.ca/dossiers/litiges-economiques/201206/06/01-4532350-jerome-

kerviel-malmene-au-deuxieme-jour-de-son-proces.php

http://forum.actufinance.fr/risk-management-enjeux-de-l-assurance-interne-faire-des-

contraintes-reglementaires-sur-le-controle-interne-les-normes-iasb-et-bale2-un-atout-

concurrentiel-essentiel-pour-votre-entreprise-P152480/

http://theses.univlyon2.fr/documents/getpart.php?id=lyon2.2008.mbele_jd&part=151142



http://www.memoireonline.com/07/08/1357/gestion-des-risques-bancaires-definition-mesure-

gestion-impact-performance.html

http://www.ressources-

actuarielles.net/EXT/ISFA/1226.nsf/8d48b7680058e977c1256d65003ecbb5/246166e9d79490

92c1257687006f9640/$FILE/jezzini.pdf

http://www.vernimmen.net/html/glossaire/definition_risque_de_change.html

Le groupe Risk Management du Comité de Bâle (2002) http://www.acp.banque-

france.fr/fileadmin/user_upload/acp/publications/documents/racb2003-le-risque-

operationnel.pdf

Les dispositifs prudentiels de l'UMOA et le nouvel accord de capital, de Bâle au Bâle 2

http://www.oodoc.com/36527-dispositifs-prudentiels-umoa-bale.php




http://forum.actufinance.fr/risk-management-enjeux-de-l-assurance-interne-faire-des-contraintes-reglementaires-sur-le-controle-interne-les-normes-iasb-et-bale2-un-atout-concurrentiel-essentiel-pour-votre-entreprise-P152480/



http://theses.univlyon2.fr/documents/getpart.php?id=lyon2.2008.mbele_jd&part=151142



http://www.memoireonline.com/07/08/1357/gestion-des-risques-bancaires-definition-mesure-gestion-impact-performance.html

http://www.memoireonline.com/07/08/1357/gestion-des-risques-bancaires-definition-mesure-gestion-impact-performance.html

http://www.ressources-actuarielles.net/EXT/ISFA/1226.nsf/8d48b7680058e977c1256d65003ecbb5/246166e9d7949092c1257687006f9640/$FILE/jezzini.pdf



http://www.vernimmen.net/html/glossaire/definition_risque_de_change.html

http://www.acp.banque-france.fr/fileadmin/user_upload/acp/publications/documents/racb2003-le-risque-operationnel.pdf



http://www.oodoc.com/36527-dispositifs-prudentiels-umoa-bale.php

http://www.oodoc.com/

Documents

Evaluation de la performance du service d’Audit …bibliotheque.cesag.sn/gestion/documents_numeriques/... · Le processus de gestion et le pilotage du risque opérationnel : cas