Vos INTERLOCUTEURS

page weave

blog.weave.eu@weaveconseil

chaîne TV

L’optimisation de la gestion des risques opérationnels dans le monde bancaire

Pierre-Antoine DUEZAssocié

pierre-antoine.duez@weave.eu+33 (0)6 07 80 79 29

12 octobre 2012

2

1. Le dispositif de gestion des risques opérationnelsUne définition normative des risques opérationnels…

« Les  risques  opérationnels  correspondent  aux  risques  de  pertes  résultant  d’une  inadaptation  ou  d’une défaillance  imputable  à  des  procédures,  personnels  et  systèmes  internes,  ou  à  des  événements  extérieurs,  y compris  les  événements  de  faible  probabilité  d’occurrence,  mais  à  risque  de  perte  élevée.  les  risques opérationnels, ainsi définis, incluent le risque juridique mais excluent les risques stratégiques et de réputation »

La règlementation Bale 2 introduit, pour les banques, l’obligation de gestion des risques opérationnels au travers de :

Son intégration dans le calcul des fonds propres  via le ratio Mac Donough : Fonds propres de la banque > 8% des (risques de crédits + de marché + opérationnels)

L’incitation à développer un modèle interne de mesure des risques opérationnels pour permettre aux banques de limiter leurs besoins en termes de fonds propres (approche dite avancée : Advanced Measurement Approach).

Arrêté du 20 février 2007 relatif aux exigences de fonds propres applicables aux établissements de crédit et aux

entreprises d’investissement ; art 4-1 c

3

1. Le dispositif de gestion des risques opérationnels…précisée par Bâle II

Pour rappel, le comité de Bâle a retenu une classification qui institue sept catégories d'évènements liés aux risques opérationnels :

1. Fraude interne2. Fraude externe3. Pratiques en matière d'emploi et sécurité sur le lieu de travail4. Clients, produits et pratiques commerciales5. Dommages aux actifs corporels6. Dysfonctionnement de l'activité et des systèmes7. Exécution, livraison et gestion des processus

Dans ce cadre, trois approches de mesure des risques opérationnels sont proposées :1. Une approche de base (Basic Indicator Approach BIA), consistant en un calcul forfaitaire (α = 15 %) des exigences de capital 

réglementaire (KBIA), sur la base du produit net bancaire (PNB) moyen des trois derniers exercices : KBIA = α * PNB

2. Une approche standard (Standardised Approach STA), consistant, pour chaque ligne de métiers de la banque, en un calcul forfaitaire (β = 12 % à 18 %, selon les huit lignes définies) des exigences de capital réglementaire (KSTA), sur la base du PNB moyen enregistré sur ces lignes de métier au cours des trois derniers exercices : KSTA = Σ (β¹-⁸ * PNB¹-⁸)

3. Une approche avancée  (Advanced  Measurement  Approach  AMA),  consistant  en  un  calcul  des  exigences  de  capital réglementaire (KAMA) s'appuyant sur  le(s) modèle(s)  interne(s) de mesure des risques opérationnels développé(s) par  la banque et validé(s) par l'autorité de contrôle.

4

1. Le dispositif de gestion des risques opérationnelsUne mise en cohérence nécessaire avec les autres briques du dispositif global

Gestion du capital

Reporting

Politique de gestion des Risques Opérationnels

Dispositif de gestion des Risques Opérationnels

Reporting réglementaireReporting interne

Allocationdu

capital

Réductiondu

risque

Mesuredu

capital

RCSAContrôle de la conformité des 

procédures

Définition des principes de management

Appétence au risque

Cartographie des risques

Base Incidents

Revue périodique du dispositif au regard de la Base Incidents :• Revue de la cartographie des risques• Adaptation des dispositifs de mitigation des risques• Revue de la gestion du capital

Risk and Control Self Assessment (RCSA)

Au sein de ce dispositif global, le RCSA tient une place centrale et permet de rapprocher les résultats issus des autres composantes de la gestion des risques

Résultats / préconisations de 

l’audit interneDonnées de 

pertes externes

Campagne d’auto-évaluation des risques et des 

contrôles

Données de pertes internes

5

1. Le dispositif de gestion des risques opérationnelsUn partage des rôles dans la mise en œuvre du dispositif

Direction Générale

Valider la mise en place du dispositif de gestion des risques opérationnels

Définir les principes directeurs / la politique de gestion des risques

Challenger les résultats des dispositifs de gestion des risques opérationnels

Définir la politique d’allocation des fonds propres

Veiller à l’indépendance de la fonction Risque Garantir que le dispositif est soumis à un 

audit interne

Définir les normes et les procédures et veiller  au respect des standards de gestion des 

risques opérationnels Impulser et coordonner la mise en place des 

dispositifs Développer les méthodologies et outils de 

pilotage Contrôler/Superviser le pilotage des

dispositifs locaux

Direction des Risques

Définir les responsabilités dans la déclinaison des normes et procédures au niveau des métiers

Piloter  la  gestion  des  risques  opérationnels au niveau de la ligne métier

Prioriser les plans d’action Valider les mesures de prévention Veiller à la formation des personnels

Directions des lignes métier

Fonctions opérationnelles

Gérer les processus opérationnels et détecter les risques

Effectuer les contrôles de niveau 1 Evaluer ponctuellement la qualité des 

contrôles

Les métiers transverses

(DSI, Direction Juridique, DRH)

Assurer la fiabilité et la sécurité de l’information

Outiller le dispositif Se prémunir contre les risques juridiques et  

sociaux

La prévention des risques opérationnels n’est pas l’exclusivité de quelques experts mais doit devenir une véritable culture d’entreprise où chacun contribue activement

au dispositif

Contrôle périodique

Auditer le dispositif

Contrôle permanent

Valider la conformité des processus Effectuer les contrôles de niveau 2 Assurer la collecte des incidents

6

2. Le contexte réglementaire en matière de risques opérationnels

CRBF 97-02

Gestion des risques opérationnels  (Art. 4 - j) Mise en place d’un plan de continuité d’activité  (Art. 14 / 14-1) Inclusion des activités externalisées dans le dispositif de contrôle interne (Art. 37-2) Mise en place d’un dispositif de contrôle de la conformité (Art. 6) Production d’un rapport annuel sur le dispositif de contrôle interne (Art. 42)

Mise en place d’un dispositif de surveillance des opérations financières dans le cadre de la lutte contre le blanchiment et contre le financement du terrorisme

LutteAnti-blanchiment

BALE II Mise en place de systèmes de gestion dédiés au risque opérationnel et adaptés aux activités Quantitatif : calcul des exigences de FP au titre des risques opérationnels

SOX et LSF Cartographie des risques ayant un impact sur les comptes de l’entité

Document Unique

Cartographie des risques ayant un impact sur la sécurité physique des collaborateurs

Les réglementations diffèrent par leurs points de vue et leurs objectifs, mais dans la plupart des cas elles convergent en substance

Les réglementations se sont étoffées au cours des dernières années pour améliorer la gestion et la prévention des risques opérationnels

7

2. Le contexte réglementaire en matière de risques opérationnels

Août 2006 High level principles for Business continuity

The treatment of expected losses by banks using the Advanced Measurement  Approach under Basel II  frameworkNovembre 2005

Juin 2011 Operational Risk – Supervisory Guidelines for the Advanced Measurement  Approaches Principles for the Sound Management of Operational Risk

Le comité de Bâle et la BRI ont parallèlement publié des documents dits de « bonnes pratiques » autour de l’ensemble des sujets ayant trait à la gestion des risques opérationnels :

Des bonnes pratiques ont été généralisées pour renforcer et homogénéiser le cadre de mise en œuvre des dispositifs

8

3. Les enjeux actuels du dispositif de gestion des risques opérationnels dans la banque

• Une approche intégrée Front-to-Back• L’utilisation  de  modèles  d’évaluation  standards,  considérant  de 

manière  explicite  les  changements  récents,  facteurs  de  risque (nouveaux produits, variation importante des volumes, …)

• Des revues trimestrielles plutôt qu’annuelles• Un focus sur les risques clés plutôt que l’intégralité des risques, et 

un  recours  dans  certains  cas  à  la  pratique  du  « sample-based testing » des contrôles

• Une  formalisation  des  processus  d’identification  des  risques émergents  et  des  équipes  dédiées  pour  étudier  l’impact  de  ces risques sur la banque

Des processus de plus en plus fluides• Certains établissements ont déjà mis en place un scénario annuel de 

défaillance  d’une  contrepartie  de  type  TITF  (i.e. too  important  to fail) pouvant entrainer leur faillite

• L’objectif  étant  de  tester  leur  capacité  de  réaction  face  à  ce  type d’événements et  les possibilités d’assurer  la continuité des activités dans les meilleures conditions

Le recours à des scénarios de défaillance

• De  plus  en  plus  d’établissements  financiers  ont  recours  à  des processus d’analyse systématique d’événements externes  (collecte et analyse de pertes importantes dans d’autres établissements)

• Cela permet d’en tirer des  retours d’expérience et de  renforcer  la capacité d’anticipation de la banque

Une prise en compte des événements externes• Un  travail  collaboratif  avec  les  fonctions  audit  et  conformité  :  les 

revues  RCSA  sont  pilotées  par  l’équipe  risques  opérationnels  et partagés  avec  les  autres  fonctions,  pour  éviter  le  phénomène  de « fatigue » des évaluations

• Une implication grandissante des autres fonctions supports dans des groupes de travail sur les principaux sujets d’inquiétude du moment 

• Les  résultats  sont  partagés  avec  les  lignes  métiers,  de  sorte  qu’ils puissent anticiper les risques identifiés en rapport avec la croissance du business

Un travail conjoint avec les fonctions support

Face aux risques « émergents », les établissements financiers doivent adopter une approche de plus en plus proactive au sein de leur dispositif de gestion des risques

opérationnels

9

Le contexte actuel marqué par l’émergence de nouveaux risques constitue une bonne opportunité pour tester l’efficacité du dispositif de gestion des risques et le faire

évoluer

3. Les enjeux actuels du dispositif de gestion des risques opérationnels dans la banque

• Au cours des 10 dernières années, plusieurs événements ont révélé  les  limites  de  la  gestion  du  risque  traditionnelle,  et notamment  la  capacité  des  établissements  à  les  gérer  de manière individuelle :• La montée du terrorisme, avec par exemple les attentats 

du 11 septembre• L’apparition de « Black Swans »*, source de disparition de 

certains établissements• L’augmentation  de  la  gravité  des  fraudes  internes  et 

externes• L’impact  du  « rogue  trading »,  avec  des  montants  de 

pertes de plus en plus importants

• La crise financière de 2008 et 2009 a aussi  révélé  la  fragilité des établissements au sein d’une économie interdépendante, et accentué le sentiment de risque systémique

• Les  réglementations  ont  évolué  pour  faire  face  à  la  montée de ces nouveaux risques, mais elles constituent une réponse insuffisante  qui  doit  être  complétée  par  des  initiatives complémentaires au niveau des banques

Face aux risques émergents…

• La  gestion  du  risque  doit  devenir  un  véritable  « business driver »

• Chaque  établissement  doit  identifier  les  risques  qui  sont pertinents  pour  son  organisation,  et  se  doter  d’un  « radar » qui  mette  en  regard  la  stratégie  et  les  risques  émergents associés

• Il convient d’évaluer la portée de chaque risque et leur degré d’interconnexion,  afin  d’identifier  leurs  conséquence  au niveau des différentes lignes métier de la banque

• Face aux risques émergents, les stratégies de réponse doivent être  établies  en  collaboration  avec  les  autres  parties prenantes externes, pour renforcer la cohérence et l’efficacité des dispositifs

• Les dispositifs de contrôle doivent évoluer, pour passer d’un exercice ponctuel à une véritable activité menée en continu

• Pour cela,  la diffusion d’une culture des risques à l’ensemble des collaborateurs constitue un facteur clé de succès

…Les dispositifs actuels doivent évoluer

* « Black Swan » : selon leur définition par TALEB, les Black Swans ou Cygnes Noirs sont des évènements difficiles à prévoir, d'une grande rareté mais avec un impact unitaire majeur en cas d’avènement

10

4. Nos convictions pour optimiser le dispositif

Il est nécessaire de focaliser les efforts autour des risques

majeurs

Les évolutions du dispositif de gestion des risques

opérationnels doivent être pensées au regard de la

maturité des organisations

Cartographie des risques et plans de contrôle doivent être

corrélés au sein d’un outil adapté

Vers une gestion des risques

opérationnels créatrice de

valeur

Une gestion collaborative des risques garantit la pertinence

du dispositif

11

4. Nos convictions pour optimiser le dispositifUne gestion collaborative des risques garantit la pertinence du dispositif

Evaluation des risques

Experts métiersCartographie des risques

Définition et mise à jour de la cartographie

Contrôle périodiqueAudit interne

Analyses périodiques de l’activité et des processus

Contrôle permanentRésultats des contrôles

Définition et implémentation des plans de contrôle et analyse des résultats

Direction des lignes métiersGestion opérationnelle du risque

Mise en place des plans d’action, collecte des incidents et back-testing de la cartographie des risques

La prévention des risques opérationnels n’est pas l’exclusivité de quelques experts mais doit devenir une véritable culture d’entreprise où chacun participe à la vie du

dispositif

12

4. Nos convictions pour optimiser le dispositifIl est nécessaire de focaliser les efforts autour des risques majeurs

La cartographie des risques devient rapidement, surtout lorsqu’elle n’est pas outillée, un document dont la lecture est difficile

Il n’est pas rare de voir quelques centaines de risques opérationnels référencés L’analyse des causes principales et des conséquences communes n’est pas toujours facile La priorisation des DMR* ne se fait que risque par risque et n’est donc pas optimale Le caractère fastidieux des revues périodiques du dispositif peut générer un certain effet de « fatigue »

Le recentrage des efforts autour des risques majeurs selon l’approche suivante est un facteur clé d’amélioration de l’efficience du dispositif :

* Dispositif de maîtrise des risques

1. Définir la notion de risque majeur pour l’établissement comme étant soit : Un risque susceptible de remettre en cause les objectifs  Stratégiques Un risque pouvant entrainer des pertes financières importantes 

(dépassant le seuil tolérable défini par l’entreprise)

2. Définir la zone de tolérance au risque3. Identifier les niveaux de risque net par risque majeur :

Niveau de risque résiduel après mise en place des DMR* et des contrôles

4. Limiter les efforts de mise en place de plans d’actions aux risques majeurs dont le niveau de risque net dépasse la tolérance au risque

13

4. Nos convictions pour optimiser le dispositifCartographie des risques et plans de contrôle doivent être corrélés au sein d’un outil adapté

L’implémentation  d’un  outil  de  gestion  des  risques doit permettre de répondre à des objectifs tels que : 

Pérenniser  la  démarche  d’identification  et  de suivi des risques

Assurer la continuité de la collecte des incidents Palier le risque « homme clé » « Industrialiser » le processus de collecte

Disposer  d’une  vision  stratégique  et opérationnelle

Disposer  d’un  reporting  spécifique  pour  chaque service

Disposer  d’une  vision  consolidée  au    niveau  des instances de décisions

Disposer  d’un  outil  d’aide  à  la  rédaction  des rapports officiels

Rendre  plus  efficientes  les  fonctions  Contrôle Permanent et Risques

Assurer une traçabilité des actions entreprises Documenter les décisions  prises Partager  une  information  commune  pour  une 

prise de décision plus pertinente

L’outillage doit permettre de recentrer les contrôleurs sur l’analyse en facilitant la collecte de l’information

CartographieAnalyse

Gestiondes

incidents

Gestiondes

risques

Processus Risques Contrôles

Scénarii de gestion de crise

Analyse statistique

Consolidation KRI Tableaux de 

bord

Collecte Alertes Traitements

correctifs et préventifs

14

Au-delà de la conformité réglementaire, la création de valeur passe par la création d’une dynamique d’analyse et d’optimisation de l’allocation des ressources et des

moyens

4. Nos convictions pour optimiser le dispositifLes évolutions du dispositif de gestion des risques opérationnels doivent être pensées au regard de la maturité des organisations

Effort requis / Difficulté de

mise en œuvre

Objectifs du dispositif de gestion des risques opérationnels

Répondre aux exigences réglementaires

Optimiser l’allocation des fonds propres

Réduire les pertes de PNB

Optimiser le dispositif

Piloter l’activité par les processus Partager les 

résultats et penser des plans d’actions communs entre les 

filières (qualité, efficacité 

opérationnelle)Corréler évènements de risque et 

contrôles dans une logique 

d’amélioration continueEtablir et suivre le 

lien entre évènements de 

risque, incidents et dispositif de maîtrise 

(DMR)Calculer les 

exigences de capitaux propres en 

fonction d’un modèle interne de mesure du risque

Cartographier les risques

Collecter les incidents

15

5. Notre offre autour des risques opérationnels

• Elaboration  des  principes  directeurs et  de  la  politique  de  gestion  des risques

• Définition  de  l’organisation  de  la filière    Risques  (gouvernance  et processus)

• Mise en place d’un cadre de référence / ERM

• Réalisation  d’une  campagne  d’auto-évaluation  des  risques  et  des contrôles

• Réalisation  d’une  cartographie  des risques

• Diagnostic  et  optimisation  des dispositifs de maîtrise

• Mise en œuvre d’un PCA• Choix  d’outil  SIGR  et  assistance  à 

l’intégration• Mise en place d’une base incidents

Nos savoir-faire

• Vous  accompagner  dans  la  mise  en œuvre  du  dispositif  de  gestion  des risques

• Effectuer un audit du contrôle interne

• Opérer  un  diagnostic  de  la performance  et  de  la  qualité  des processus risques

• Vous  assister  dans  votre  démarche Enterprise Risk Management 

• Vous  accompagner  dans l’optimisation  de  votre  dispositif  de contrôle

Nos contextes d’intervention Extrait de références

• Assistance à la production du reporting réglementaire

• Création du dispositif de contrôle interne

• Création du dispositif de gestion des risques

• Implémentation de la directive LAB/FT

• Mise en place d’un SIGR

• Mise en place d’un SIGR

16

1. Contexte et objectifs

2. Nos convictions

3. Démarche proposée

4. Conditions d’intervention

5. Extrait de nos références ‘organisation’

• Un acteur significatif du conseil : o Créé en 2001o 240 consultants en 2011o Bureaux à Paris et Bruxelles

• Un cabinet de conseil dynamique en forte croissance :o 1er cabinet de conseil français diplômé EFQM en 2011, qualité totale, en obtenant l’une des meilleures notes de ce modèleo Prix gazelle 2005 du Ministère des PME récompensant les entreprises à forte croissanceo Capacité d’accompagnement à l’international

• 2 métiers complémentaires : o Le conseil en stratégie opérationnelleo Le conseil en management des systèmes d’information

• Des compétences multisectorielles :o Banque, o Assurance,o Gestion d’actifs, o Energie, o Industrie,o Distribution, o Secteur Public,o Transports

Une culture de l’excellence alliant un savoir faire issu des grands cabinets à une capacité à construire

des interventions sur-mesure

Présentation du groupe weaveUn groupe de conseil multi-spécialiste à taille humaine