Le scandale de la Société Générale a dévoilé au grand publicles conséquences des risques liés à des dysfonctionnementsopérationnels. Avec la réforme de Bâle II, cette catégorie derisques doit maintenant être prise en compte dansl’évaluation des fonds propres des établissements financiers.Leur évaluation quantitative est donc la première démarchequi ait été entreprise. Cependant cette approche apparaîtcomme insuffisante pour maîtriser ces risques et la gravitédes événements exceptionnels est extrêmement difficile àévaluer. Il faut donc combiner ces approches quantitatives àdes démarches plus qualitatives relevant de la mise en placed’un dispositif de contrôle interne efficace et plusgénéralement d’une gouvernance générale du système decontrôle garantissant une sécurisation optimale dufonctionnement de la banque. Cet article, fondé sur plusieursanalyses de cas, évalue les différents éléments de cedispositif.

ÉRIC LAMARQUEUniversité Montesquieu Bordeaux 4

FRANTZ MAURERUniversité Montesquieu Bordeaux 4,Bordeaux Management School

Le risque opérationnelbancaireDispositif d’évaluation et système de pilotage

DOI:10.3166/RFG.191.93-108 © 2009 Lavoisier, Paris

D O S S I E R

Cet

art

icle

des

Edi

tions

Lav

oisi

er e

st d

ispo

nibl

e en

acc

es li

bre

et g

ratu

it su

r ar

chiv

es-r

fg.r

evue

sonl

ine.

com

Au-delà de la vision financière tradi-tionnelle évoquant les risques demarché ou le risque de crédit

comme facteur de défaillance principal desbanques. Les événements observés depuisle début des années 2000 (affaire Enron,Worldcom, Parmalat ou les attentats de sep-tembre 2001) sont venus rappeler qu’uneautre source de pertes financières significa-tives pouvait provenir du fonctionnementopérationnel : fraudes, détournements,condamnations, dysfonctionnements. Ladéfinition officielle donnée par le comité deBâle indique qu’il s’agit des « risques depertes dues à l’inadéquation ou à ladéfaillance de processus internes dues aupersonnel ou aux systèmes ainsi que cellesdues aux événements extérieurs ». On peutrajouter à cela le risque de réputation dont ilest quasiment impossible d’évaluer lesconséquences financières précisément maisqui n’est pas considéré comme un risqueopérationnel. La théorie bancaire n’a pasencore pris en compte cet aspect dans sonanalyse sur la gestion des risques bancaires.Pour cette théorie, des décisions purementfinancières (comme la diversification duportefeuille de crédits ou de titres oucomme le transfert du risque vers l’assu-reur) ou stratégiques (comme la diversifica-tion du portefeuille d’activité) sont denature à limiter l’exposition aux risques.Les fonds propres sont ensuite le dernierrempart pour éviter la défaillance suite àl’apparition de pertes exceptionnelles nonprévisibles (Olfield et Santomero, 1997).Le cas des risques opérationnels montreque cette approche est incomplète. En effetl’évaluation des fonds propres nécessaires àla couverture de ces risques n’est pas suffi-sante et pose le problème du dimension-

nement de ces fonds propres. Les travauxréalisés auprès des institutions financièresmontrent la nécessité d’un dispositif com-plet visant à maîtriser cette catégorie derisque, non pas nouvelle, mais dont lesacteurs bancaires ont pris conscience deleur impact sur les résultats et la pérennité.Cet article a donc pour objectif de présenterles dimensions clés d’un système decontrôle des risques opérationnels. Plu-sieurs études de cas permettent ici de pro-poser une première évaluation des condi-tions d’efficacité d’un tel dispositif. Il apour vocation à réduire les probabilitésd’occurrence d’incidents opérationnels etainsi alléger le besoin en fonds propresimposé par la nouvelle norme de Bâle II.De plus, élaborer un dispositif de contrôlevisant à minimiser les conséquences finan-cières de ces risques est donc de nature àaméliorer la performance des établisse-ments. La banque découvre ainsi d’une cer-taine manière la nécessité de mettre enplace un dispositif de gestion de ses risques« industriels » comme dans le nucléaire oul’industrie chimique, toutes proportionsgardées. Cependant, le système bancaire,malgré ses difficultés actuelles, est asseznovateur dans ce domaine en comparaisonaux autres activités de services qui n’ontpas réellement intégré cette dimension dansleur cartographie des risques.Après avoir présenté en détail les modalitésde l’évaluation quantitative de ces risques,les facteurs clés de succès d’un système decontrôle seront analysés en montrant lespriorités des établissements engagés dans lamise en place de dispositifs de contrôle dece type de risques et en insistant sur les cri-tères d’efficacité d’un système global decontrôle.

94 Revue française de gestion – N° 191/2009

Cet

art

icle

des

Edi

tions

Lav

oisi

er e

st d

ispo

nibl

e en

acc

es li

bre

et g

ratu

it su

r ar

chiv

es-r

fg.r

evue

sonl

ine.

com

I – LE NIVEAU DE FONDS PROPRESNÉCESSAIRE À LA COUVERTUREDES RISQUES OPÉRATIONNELS

Les risques opérationnels sont évalués par laméthode LDA (Loss DistributionApproach). Il s’agit d’une approche actua-rielle très ancienne largement utilisée enassurance, qui permet de construire la distri-bution de probabilité des pertes opération-nelles agrégées. Les données nécessaires aumodèle sont fournies par un historique depertes regroupées selon les huit lignes d’ac-tivité et les sept événements de risque défi-

nis par le comité de Bâle (voir tableau 1). Lamatrice ainsi obtenue contient 56 cellules et,pour chaque catégorie de perte ou événe-ment de risque, il faut estimer la distributionde sévérité (le montant d’une perte) et la dis-tribution de la fréquence (le nombre d’oc-currences d’une perte)1. L’étape suivante consiste à construire la dis-tribution des pertes agrégées dues au risqueopérationnel associée à chaque cellule. Lecapital réglementaire associé à chaque caté-gorie de risque ou cellule est calculé enappliquant le concept de Value-at-Risk

Le risque opérationnel bancaire 95

1. En juin 2002, le Risk Management Group (RMG) du comité de Bâle a collecté les données de perte liées au risqueopérationnel survenues au cours de l’année 2001 dans le secteur bancaire. Cette compilation des pertes opération-nelles est connue sous l’acronyme LDCE (Operational Risk Loss Data Collection Exercise). Cette étude fut réali-sée à partir d’un échantillon de 89 banques de stature internationale. Les données de perte opérationnelle ont ensuiteété classées par ligne d’activité (i) et type de risque (j). Les résultats du tableau 1 portent sur un total de 47 000 évé-nements de risque opérationnel pour un montant total de pertes subies avoisinant 7800 millions d’euros.

Tableau 1 – Matrice des pertes distribuées selon la ligne d’activité et le type de risque*

* Pour chaque cellule de la matrice, la valeur du haut indique la fréquence et celle du bas la sévérité exprimée en %.

Type de risque (j)

Pratiques en Clients, Dommages Dysfonction- Exécution,Fraude Fraude matière d’emploi produits et aux nements de livraison etinterne externe et sécurité sur pratiques actifs l’activité et gestion des

le lieu de travail commerciales corporels des systèmes processus

Financement 0,04 0,04 0,19 0,19 0,04 0,02 0,47des entreprises 0,85 0,01 0,03 0,74 0,14 0,01 0,57

Négociation 0,10 0,25 0,22 0,23 0,07 0,25 10,27des ventes 0,87 0,58 0,32 1,21 0,48 0,19 8,10

Banque 2,87 38,86 5,01 4,47 0,56 0,35 11,55de détail 4,03 10,82 3,61 3,16 1,14 0,19 5,61

Banque 0,19 3,68 0,17 0,60 0,11 0,09 1,96commercial 0,34 4,20 0,33 2,09 18,19 0,20 9,23

Paiements 0,05 0,81 0,13 0,03 0,01 0,14 2,91et règlements 0,31 0,29 0,18 0,01 0,16 0,05 1,39

Fonction 0,01 0,03 0,01 0,02 0,00 0,03 2,43d’agents 0,01 0,06 0,01 0,01 0,00 0,01 1,98

Gestion 0,07 0,09 0,10 0,20 0,01 0,01 1,65d’actifs 0,07 0,07 0,17 1,09 0,03 0,02 1,19

Courtage 0,15 0,04 2,14 1,35 0,02 0,11 4,06de détail 0,98 0,02 0,86 2,56 8,79 0,02 1,45

Lig

ne d

’act

ivit

é (i

)

Cet

art

icle

des

Edi

tions

Lav

oisi

er e

st d

ispo

nibl

e en

acc

es li

bre

et g

ratu

it su

r ar

chiv

es-r

fg.r

evue

sonl

ine.

com

(VaR) au risque opérationnel. La VaR opé-rationnelle ou OpVaR correspond alors à unquantile de la distribution de la perte agré-gée (figure 1). Le comité de Bâle préciseque la période de détention h (i.e., l’horizonde calcul) est fixée à un an et que l’inter-valle de confiance a est 99,9 %. Ensuite leprocessus dévaluation comporte troisphases.

1. Estimation de la distribution de la fréquence de la perte

La distribution de la fréquence (le nombre depertes pour l’activité i dû au type de risque j)est généralement estimée par une loi de Poisson en raison de sa commodité (Frachotet al., 2003; Mignola et Ugoccioni, 2005).Elle est utilisée avec succès dans le domainede l’assurance pour modéliser des problèmessimilaires, et ne nécessite qu’un seul para-mètre (la moyenne du nombre annuel depertes) pour être entièrement définie. En

outre, l’estimation de ce paramètre se faitsans difficulté à l’aide d’une technique d’es-timation statistique très populaire : laméthode du maximum de vraisemblance(Maximum Likelihood ou ML).

2. Estimation de la distributionde sévérité de la perte

On suppose le plus souvent que la distribu-tion de sévérité suit une loi lognormale deparamètres µ et σ2, estimés par les méthodesdu maximum de vraisemblance ou desmoments généralisés (Generalized Methodof Moments ou GMM). L’estimation directede la distribution de sévérité du risque opé-rationnel est souvent difficile, car les don-nées utilisées sont souvent entachées de dif-férentes sources de biais (Roncalli, 2004).Ces biais surviennent lorsqu’on mélangedes données de même nature mais qui ontété collectées de manière différente (biais decollecte ou de reporting) où qu’on mélange

96 Revue française de gestion – N° 191/2009

Figure 1 – La VaR opérationnelle (OpVaR) à 99,9 %

Cet

art

icle

des

Edi

tions

Lav

oisi

er e

st d

ispo

nibl

e en

acc

es li

bre

et g

ratu

it su

r ar

chiv

es-r

fg.r

evue

sonl

ine.

com

des données fondamentalement différentes(biais d’échelle ou de scaling). Afin de pal-lier la présence de données tronquées dansl’estimation de la distribution de sévérité, lecomité de Bâle (2006, p. 153) précise que labanque doit avoir fixé un seuil de 10000euros pour les données de pertes à collecter.Il précise également que le système demesure du risque opérationnel d’une banquedoit utiliser des données externes perti-nentes (données publiques et/ou agrégées)sur l’ensemble du secteur bancaire.

3. Estimation de la distribution de la perte agrégée

Une fois que les distributions de fréquenceet de perte sont calibrées, on peut calculerla perte totale ou agrégée pour la ligne d’ac-tivité i et le type de risque j entre les dates tet t+h (h est fixé à un an par le comité). Elleest définie par :

L(i,j) = ^N(i,j)

n=0

Xn (i,j)

où Xn(i, j) est la variable aléatoire représen-tant le montant d’une perte (sévérité) pourl’activité i et le type de risque j, et N(i, j) estla variable aléatoire de comptage (nombred’événements de perte pour l’activité i dûau type de risque j) de fonction de probabi-lité pi,j.On suppose que le nombre d’événementsde perte (les occurrences) est aléatoire entreles dates t et t+h, que les sévérités (le mon-tant des pertes) sont indépendantes les unesdes autres, et qu’elles sont indépendantesde la fréquence des pertes (Frachot et al.,

2004). La distribution de probabilité de L(i, j), notée Gi,j (x), est la distribution com-posée suivante :

Gi,j(x) = 5où Fi,j est la distribution de la sévérité despertes. L’astérisque indique la convolutiondans la fonction F, où Fn* indique n-fois laconvolution de F avec elle-même2. La dis-tribution composée G(x) s’obtient alors parsimulation Monte Carlo (voir Klugman et al., 2004, chapitre 17) ou en utilisant desalgorithmes numériques comme celui dePanjer.Une fois la distribution de la perte agrégéeestimée, il ne reste plus qu’à calculer lacharge en capital (Capital-at-Risk ou CaR)pour la ligne de métier i et le type de risquej, autrement dit le quantile à a = 99,9 % decette distribution. Si on respecte strictementles recommandations du comité de Bâle(2006, p. 151), la charge en capital devrait apriori couvrir les seules pertes exception-nelles (unexpected loss ou UL), puisque lespertes moyennes (expected loss ou EL) sontcensées être couvertes par des provisions ouimputées sur le résultat courant. Dans ce cas,la charge en capital CaR est donnée par :

CaR = UL(i, j ; α)

Cependant, si la banque ne parvient pas àdémontrer au régulateur que les pertesmoyennes ont été couvertes, la charge encapital doit couvrir la somme des pertes

^∞

n=1

pi,j(n)Fi,jn*(x) x.0

pi,j(0) x 5 0

Le risque opérationnel bancaire 97

2. La convolution est une procédure mathématique qui permet de transformer les distributions de fréquence et desévérité en une troisième distribution (la distribution de la perte agrégée) en superposant les deux premières (voirFeller, 1971, p. 143).

Cet

art

icle

des

Edi

tions

Lav

oisi

er e

st d

ispo

nibl

e en

acc

es li

bre

et g

ratu

it su

r ar

chiv

es-r

fg.r

evue

sonl

ine.

com

exceptionnelles (UL) et moyennes (EL).Dans ce cas, la mesure du risque opéra-tionnel correspond bien à une valeur enrisque, autrement dit CaR et OpVaR sontidentiques :

CaR ≡ OpVaR(i, j ;α)=Gi,j–1(α)

=EL(i,j) + UL(i, j ; α)

où Gi,j–1(α) est le quantile à 99,9 % de la dis-

tribution de la perte totale ou agrégéeGi,j(x). La charge en capital (CaR) totale dela banque s’obtient alors en agrégeant les56 mesures individuelles de risque opéra-tionnel associées aux 56 cellules de lamatrice des pertes (voir tableau 1), soit :

KLDA = CaR(α) = ^8

i=1^7

j=1

CaRij(α)

Ce mode de calcul des fonds propres régle-mentaires au titre du risque opérationnelrepose sous l’hypothèse de corrélation par-faite des pertes totales. Or, d’un point devue théorique, on peut très bien admettrequ’elles ne sont pas parfaitement corrélées.Faire la simple somme de toutes les chargesen capital est donc sûrement très conserva-teur en termes de risque. Frachot et al.(2004) présentent d’ailleurs des argumentstechniques en faveur d’un effet de diversifi-cation significatif. Pour la banque, cet effetest intéressant à prendre en compte car ilpeut réduire de manière significative lacharge totale en capital. Le comité de Bâlepeut autoriser la banque à appliquer descorrélations entre les estimations indivi-duelles de risque opérationnel déterminéesen interne. Elle doit alors démontrer à sonautorité de contrôle que ses systèmes dedétermination des corrélations sont sains etmis en œuvre avec intégrité. En d’autres

termes, il appartient à la banque de validerses hypothèses de corrélation.

II – LES PRIORITÉS EN MATIÈREDE GESTION DU RISQUE

OPÉRATIONNEL

La plupart des banques ont développé unmodèle de risque opérationnel ou ORF(Operational Risk Framework) afin de res-pecter les normes réglementaires. Un ORFest destiné à remplir deux objectifs princi-paux. D’une part, assurer la mise en place deprocessus durables de suivi des risques opé-rationnels pour satisfaire les exigencesexternes en matière d’audit et de reportingdes pertes opérationnelles (e.g. Sarbanes-Oxley 404). D’autre part, développer unemétrique d’évaluation du risque, développerdes cartographies de risque standards, etmettre en œuvre une base de donnéesexhaustive, sorte d’inventaire du risque opé-rationnel ou ORI (Operational Risk Inven-tory) qui recense et trace les facteurs derisque, les incidents et les traitements asso-ciés, et plus globalement la surface d’exposi-tion de la banque au risque opérationnel. UnORF n’a de sens qu’à la condition d’assurerun certain degré de résilience opérationnelle.Comme le montre la figure 2, la structured’un ORF repose sur cinq principes fonda-mentaux qui doivent être activés au sein dela banque :– la responsabilisation des différentsniveaux de management ;– l’indépendance de la fonction en chargedu contrôle du risque ;– communiquer sur le risque ;– sécuriser le Produit net bancaire ;– préserver la réputation et l’image de labanque.

98 Revue française de gestion – N° 191/2009

Cet

art

icle

des

Edi

tions

Lav

oisi

er e

st d

ispo

nibl

e en

acc

es li

bre

et g

ratu

it su

r ar

chiv

es-r

fg.r

evue

sonl

ine.

com

Un modèle de résilience opérationnelle estun ensemble de techniques et de moyensdont l’objectif est d’accroître la capacitéd’une banque à faire face à des événementsextrêmes.De ces principes découle une redéfinition etun nouveau partage des tâches et responsa-bilités dans la banque. La gestion du risqueopérationnel est désormais enchâssée dansl’activité même de la banque, alors que lapartie contrôle du risque demeure une fonc-tion indépendante responsable de l’intégritédes décisions risque-rentabilité3. Dans cetteconfiguration, toutes les fonctions d’un

ORF sont dédiées à l’évaluation et surtoutau contrôle du risque. Le rôle d’un ORF estclairement de mobiliser l’organisationautour du risque opérationnel via deséquipes centralisées ou la participation àdivers comités d’évaluation. La fonctionrisque opérationnel doit par conséquentencastrer l’ORF dans les structures de gou-vernance de la banque, son système dereporting et l’ensemble de ses processus. Lafigure 3 illustre comment s’articulent les sixétapes ou composantes clés d’un ORF:– Lignes de conduite, normes et direc-tives. Un ORF requiert une documentation

Le risque opérationnel bancaire 99

Figure 2 – Les cinq piliers de la résilience opérationnelle

3. La crise grave qui secoue actuellement la sphère financière mondiale trouve probablement en partie son originedans une recherche de rentabilité déconnectée du risque encouru.

Résilience opérationnelle

Res

pons

abili

ser

les

diff

éren

ts

nive

aux

de m

anag

emen

t

Indé

pend

ance

de

la f

onct

ion

Con

trôl

e du

ris

que

Com

mun

icat

ion

inte

rne/

exte

rne

sur

le r

isqu

e op

érat

ionn

el

Pro

duit

Net

Ban

cair

e

Rép

utat

ion

de la

ban

que

Renforcer Garantir Développer Sécuriser Préserver

Cet

art

icle

des

Edi

tions

Lav

oisi

er e

st d

ispo

nibl

e en

acc

es li

bre

et g

ratu

it su

r ar

chiv

es-r

fg.r

evue

sonl

ine.

com

de contrôle détaillée et complète, permet-tant de vérifier que les processus de labanque fonctionnent correctement et effica-cement. Cette documentation doit doncinclure des procédures standards decontrôle, des indicateurs, etc.– Recueil des données. Pour renseignerl’ORF, les responsables des différentsdomaines d’activité et la fonction risqueopérationnel doivent recenser et rassemblerun volume de données considérable à partirde sources diverses : les révélateurs derisque. Il peut s’agir de processus d’auto-certification, d’événements financiers,d’événements non financiers et externes, demétriques, de rapports d’audit, et d’évalua-tions top-down ou réalisées par des spécia-listes.– Identification et analyse des facteurs derisque. À partir des données de risque, les

facteurs de risque sont identifiés et leurimpact potentiel évalué. En fonction de leurfréquence d’occurrence et de la sévérité dela perte associée, un rating rouge, orange ouvert leur est attribué. Bien entendu, l’éva-luation de ces risques sert également àdéterminer le capital économique de labanque.– Réponse. Basée sur l’évaluation précé-dente, une réponse appropriée à la situationde risque est élaborée (e.g. éviter,assurer/transférer, gérer, accepter), et unplan d’action est activé en fonction.– Reporting. Tout ce qui relève du risqueopérationnel est ensuite remonté aux diverscomités pour évaluation.– Inventaire de risque opérationnel(ORI). La totalité des données précédentesayant fait l’objet du reporting est stockéedans la base de données ORI. Il ne s’agit

100 Revue française de gestion – N° 191/2009

Figure 3 – Les six étapes clés de la gestion du risque opérationnel

Cet

art

icle

des

Edi

tions

Lav

oisi

er e

st d

ispo

nibl

e en

acc

es li

bre

et g

ratu

it su

r ar

chiv

es-r

fg.r

evue

sonl

ine.

com

pas de simplement sauvegarder les impactspotentiels des facteurs de risque qui ont puêtre identifiés, mais aussi et surtout de défi-nir des actions correctrices spécifiques. Cesinformations seront ensuite utilisées pourmettre en place des mécanismes decontrôle.– Contrôle. Le contrôle du risque opéra-tionnel ou ORC (Operational Risk Control)est responsable de l’efficacité du modèle derisque opérationnel (ORF). Cette fonctionindépendante est au cœur du dispositif derisque de la banque (voir figure 3). Il s’agiten effet de s’assurer que les processus degestion du risque opérationnel sont correc-tement activés par le management deslignes d’activité/métiers. L’ORC doit égale-ment vérifier la mise en action effective del’ORF au niveau de ces lignes/métiers etl’intégrité du processus de recueil des don-nées de risque.Dans beaucoup de banques, ces modèles derisque opérationnels ORF ont permis derépondre aux exigences réglementairesexternes telles que Bâle II et Sarbannes-Oxley. Les banques ont pu mesurer, suivreet gérer au plus près leur capital écono-mique. Elles ont aussi démontré (à quelquesexceptions notables près quand même)qu’elles étaient capables de mettre enœuvre des pratiques robustes et saines degestion et de contrôle du risque opération-nel, même si celles-ci revêtent un caractèrelégal obligatoire. Enfin, elles sont parve-nues à cristalliser l’action managériale surla définition et la mise en place de contrôlesinternes adéquats du reporting financierglobal. Cependant, dans l’environnementactuel, être conforme ou synchrone avec lesexigences du régulateur (ce que les Anglo-Saxons appellent la « compliance ») ne suf-fit plus. Les modèles de risque opérationnel

ORF ont en effet montré leurs limites à plu-sieurs niveaux :– Anticiper et détecter au plus tôt descomportements ou des situations anor-males. Les indicateurs (ou « révélateurs »)de risque mais aussi les mesures propre-ment dites actuellement en vigueur sontrésolument tournées vers le passé de labanque, autrement dit son historique derisque. De fait, elles sont d’une utilité trèsdiscutable à des fins de détection. Lesbanques doivent être en capacité de relierdifférents types d’information et deconnaissance afin de transformer dessignaux faibles en signaux forts. Or, la frag-mentation des départements dédiés aurisque, qui plus est organisés en silos fonc-tionnels, empêche toute amélioration signi-ficative de la gestion du risque au sein de labanque.– Développer une approche intégrée ducontrôle du risque et identifier les pointsde vulnérabilité. La structure de contrôledu risque dans les banques ressemble sou-vent à un patchwork d’exigences réglemen-taires diverses, et peut par conséquent serévéler incohérente et incomplète. Intégrerles différents processus/outils de contrôlefaciliterait la détection de comportementssuspects et permettrait de renoncer à unpseudo sentiment de sécurité et de protec-tion, au profit d’une vision objective de lacapacité réelle de la banque à détecter etgérer le risque.– Insuffler une culture du risque. Cer-taines banques compensent les déficiencesde leur structure de contrôle en essayantd’instaurer une culture d’alerte en matièrede risque. Dans la plupart des cas, cepen-dant, une démarche orientée exclusivementsur les résultats attendus est inappropriée,tout simplement parce qu’elle excède très

Le risque opérationnel bancaire 101

Cet

art

icle

des

Edi

tions

Lav

oisi

er e

st d

ispo

nibl

e en

acc

es li

bre

et g

ratu

it su

r ar

chiv

es-r

fg.r

evue

sonl

ine.

com

largement les capacités effectives de suiviet contrôle du risque de la banque. Il estdonc nécessaire que les banques parvien-nent à instituer des pratiques de gestion durisque qui ne se résument pas à la simpleapplication de méthodes et processusrigides et normalisés. Ces nouvelles pra-tiques doivent véritablement s’encastrerdans la culture de la banque.– Expliciter les responsabilités tout aulong du processus de contrôle. Les régula-teurs et les auditeurs ont poussé les banquesà ériger de multiples lignes de défense afinde mieux contrôler le risque. Malheureuse-ment, l’adoption de ce modèle s’est traduitepar une chaîne de responsabilité inopérante.– Initier des changements organisation-nels. Les banques ont tendance à se focali-ser sur les symptômes superficiels du risqueopérationnel, au lieu d’identifier et tra-vailler sur les causes profondes de celui-ci.Réduire sensiblement le risque opérationneld’une banque impose d’intervenir en pro-fondeur à différents niveaux. Il peut s’agirpar exemple de l’amélioration des proces-sus (de mesure, de contrôle, etc.) ou desinfrastructures (inventaire et stockage desdonnées, chaîne de responsabilité, etc.).Afin d’améliorer ce dispositif et de contri-buer à prendre en compte les éléments quiviennent d’être évoqués, il est aujourd’huinécessaire de travailler sur un système glo-bal de contrôle.

III – LES CRITÈRESFONDAMENTAUX D’EFFICACITÉD’UN SYSTÈME DE CONTRÔLE

INTERNE BANCAIRE

Les établissements financiers sont dansl’obligation, depuis une dizaine d’années,de concevoir un dispositif de contrôle

interne précis. Le règlement du Comité dela réglementation bancaire et financièreCRBF 07-02 décrit avec précision lesmodalités de ce dispositif qui va au-delà del’entreprise bancaire et implique différentescatégories d’acteurs internes et externes :direction générale, comités d’audit, audi-teurs externes, régulateur, etc.La philosophie du CRBF 97-02 ainsi quecelle du pilier 2 de Bâle II est beaucoupplus organisationnelle et tournée vers laprise en compte des risques opérationnels etconstitue une approche plus qualitative dela gestion de cette catégorie de risques. Ungrand nombre de banques considèrent queces derniers sont, pour l’essentiel, issus dela défaillance des contrôles internes ainsiqu’au non respect des procédures (commedans le cas de la Société Générale). La per-formance opérationnelle et financière deces institutions est donc largement dépen-dante de l’efficacité du dispositif de cou-verture des risques opérationnels (Jimenezet Merlier, 2004).

1. L’efficacité des acteurs du dispositifde contrôle interne

L’efficacité du système de contrôle supposed’abord l’efficacité des acteurs participantsà ce dispositif. On peut distinguer deuxgrandes catégories d’acteurs : les collabora-teurs de l’entreprise sous la responsabilitéde la direction générale qui doit proposerune organisation respectant les grands prin-cipes de cette fonction ; les acteurs externesà l’entreprise exerçant pour la plupart unemission réglementaire de surveillance desétablissements financiers.– Les acteurs internes du contrôle interne.– Le service contrôle interne : il est rattachédirectement à la direction générale et sonindépendance est une nécessité. Son rôle est

102 Revue française de gestion – N° 191/2009

Cet

art

icle

des

Edi

tions

Lav

oisi

er e

st d

ispo

nibl

e en

acc

es li

bre

et g

ratu

it su

r ar

chiv

es-r

fg.r

evue

sonl

ine.

com

d’aider l’ensemble des services de labanque à mener à bien la démarche. Il estune sorte de consultant interne chargé devérifier la faisabilité et l’efficacité descontrôles mis en œuvre. L’erreur commisepar beaucoup d’établissements est de luidonner un rôle répressif alors qu’il doitavoir avant tout un rôle de conseil et êtreune force de proposition vis-à-vis des ser-vices et de la direction générale.– Les collaborateurs de la banque : chaquecollaborateur a, dans ses missions, une acti-vité de contrôle. En effet le premier niveaude contrôle est réalisé par ceux effectuantles opérations et par leur hiérarchie au seind’un service. Le personnel doit donc êtresensibilisé à cette tâche pour ne pas la réa-liser de façon désinvolte ou en considérantqu’elle n’est pas source de risques graves.Les collaborateurs des services supports dusiège sont eux aussi en charge de contrôledit de second niveau. Ils permettent de cor-riger les anomalies que les premierscontrôles ont laissé passer.– L’audit interne : aussi appelé l’inspection,son rôle est vraiment d’effectuer « lecontrôle des contrôles » dans une logiquecoercitive. Il est également dépendantdirectement de la direction générale et réa-lise des interventions, programmées ounon, au sein de l’ensemble des services. Ilest primordial que ce service soit bien dis-tinct de celui de contrôle interne et que lespersonnes réalisant les missions d’auditsoient différentes de celles assurant desmissions de contrôle interne afin d’éviter laconfusion auprès des collaborateurs. L’ob-jectif est donc de mesurer et de contrôlerl’application des plans de contrôle interneau sein de l’établissement.– Les acteurs externes du contrôle interne

– Le régulateur : derrière ce terme génériqueplusieurs organismes sont en mesure de réa-liser des missions de vérification relatives aufonctionnement du système de contrôle. Aupremier rang on retrouve la commissionbancaire qui est l’organisme chargé de véri-fier le respect des règlements bancaires etnotamment celui relatif au contrôle interne.L’autorité des marchés financiers possèdeaussi cette faculté car la plupart des établis-sements sont aujourd’hui cotés et sont doncsoumis à ce type de contrôle. La Banque deFrance enfin qui garde quelques préroga-tives aussi en la matière. Plus généralement,la régulation du système bancaire repose surdes organismes de normalisation comme lecomité de Bâle qui a proposé à la fois desnormes prudentielles quantitatives relativesaux fonds propres mais également des élé-ments plus qualitatifs comme le renforce-ment et la généralisation du dispositif decontrôle interne. Par ailleurs des organismescomme l’IAS ou des réglementationscomme la loi Sarbanne-Oxley imposentaujourd’hui un dispositif d’information pré-cis sur ce sujet à toute société cotée. Le pro-blème pour les grandes entreprises interna-tionales est de combiner ces différentsréférentiels, parfois contradictoires malgrécertains points communs.– L’audit externe : il est réalisé par lesgrands cabinets spécialisés qui se partagentle travail sur un établissement (deux audi-teurs sont nécessaires). Dans le cas desbanques ces cabinets développent uneméthodologie spécifique, d’abord en raisonde l’information financière particulière pro-duite (Lamarque, 2008) mais également enraison de leur rôle d’intermédiation ou del’importance des opérations de marchéqu’elles réalisent. Parmi les sujets clés de

Le risque opérationnel bancaire 103

Cet

art

icle

des

Edi

tions

Lav

oisi

er e

st d

ispo

nibl

e en

acc

es li

bre

et g

ratu

it su

r ar

chiv

es-r

fg.r

evue

sonl

ine.

com

ces audits on peut citer l’analyse de l’envi-ronnement pour repérer les éléments pou-vant affecter l’activité tels que les évolu-tions de la réglementation, de ladémographie, de la croissance économiquemais également évaluer les changementsdans les comportements de la clientèle et del’ensemble des parties prenantes.La culture risque a été évoquée précédem-ment. L’auditeur externe doit évaluer la pré-gnance de cette préoccupation au sein deséquipes dirigeantes ainsi qu’à tous lesniveaux de l’organisation. Il se fonde prin-cipalement pour cela sur des informationsécrites relatant le plan de développementcommercial, la stratégie et les principalesorientations retenues par la banque. À par-tir de ces documents l’auditeur se fera uneidée de l’exposition au risque. Le reportinget les outils du contrôle de gestion sontd’une grande importance à ce niveau car ilsillustrent en général assez bien l’intensitéde cette préoccupation au sein d’un établis-sement. L’auditeur va alors évaluer la capa-cité qu’il a à suivre les risques au regard deces documents.L’appréciation et l’analyse de chaquerisque : le principe fondamental est celui del’exhaustivité comme cela a déjà été évo-qué. En trois ou quatre ans l’ensemble desdépartements et des services doivent avoirété audités et tout manquement en lamatière est réellement porteur d’accusationde laxisme et d’un risque de réputation.L’auditeur doit se livrer à un travail de com-préhension du dispositif de gestion desrisques de l’établissement et n’a pas pourrôle d’imposer une méthode prédéfinie. Cetravail consiste à regarder si les mesuresprises par la banque en vue de les minimi-ser sont efficaces et adéquates.

Seule une telle analyse permet de s’assurerque les risques sont bien identifiés et correc-tement reflétés dans les comptes annuels. Àces trois axes s’ajoutent une analyse du res-pect des conditions d’autorisation donnéesaux cadres de la banque et plus générale-ment des règles de comportement.– Les agences de notation : elles sont pourmission d’évaluer le niveau de risque d’unétablissement grâce aux notes qu’elles leurattribuent. Fortement mise en cause aumoment de la crise des « subprimes » pourleur vision erronée des risques, elles fontl’objet de suspicions quant à leur indépen-dance. Cette situation les conduit aujour-d’hui à redéfinir certains paramètres pourévaluer l’exposition aux risques en particu-lier sur les marchés financiers.Standard & Poor’s notamment vient d’annon-cer se doter d’un ratio de solvabilité propre leRAC ou « Risk Adjusted Capital » considé-rant ainsi comme insuffisants les change-ments prudentiels imposées par Bâle 2. C’estla première fois qu’une agence va plus loinque les recommandations des autorités derégulation. Ce système, sur le fond, n’estcependant pas nouveau, le Risk AdjustedReturn On Capital relevait de cette logique(Godowski, 2008). Standard & Poor’s fait unconstat simple et identique à celui de beau-coup de professionnels. Le nouveau disposi-tif Bâle II est appliqué de façon assez dispa-rate aujourd’hui. Des banques retiennentfinalement la méthode « standard » proche deBâle I, d’autres ont vu leur méthodes « avan-cées » validée par les autorités de contrôle,d’autres encore ne sont toujours pas passés àBâle II. Les écarts d’évaluation sont doncimportants. Entre une perte estimée à 10 %de son portefeuille de crédit hypothécaire etune perte estimée, par une autre méthode, à

104 Revue française de gestion – N° 191/2009

Cet

art

icle

des

Edi

tions

Lav

oisi

er e

st d

ispo

nibl

e en

acc

es li

bre

et g

ratu

it su

r ar

chiv

es-r

fg.r

evue

sonl

ine.

com

15 %, le besoin en fonds propres s’accroît de50 %. L’estimation avancée par Standard &Poor’s conduirait à multiplier par trois lesbesoins en fonds propres réglementaires surle risque de marché par exemple4. Parailleurs Bâle II n’est pas entré en vigueur auxÉtats-Unis et plusieurs experts évaluent à dixans le temps nécessaire pour avoir un dispo-sitif assez homogène.– Le comité d’audit : au sein du conseild’administration son rôle est également decontrôler l’exposition aux risques et laconformité des décisions opérationnellesd’un établissement. Comme on le verra plusloin il est le garant de l’application de lapolitique des risques décidée par la banqueet il doit disposer d’un droit d’alerte vis-à-vis de l’actionnariat.Au regard de cette multiplicité d’acteursinternes et externes un double sentimenthabite les observateurs. D’une part, la régu-lation que l’on a présentée comme globale-ment absente au sein du système bancaireest en réalité très forte et suppose une adap-tation des établissements. Il semble difficilede penser que tous les acteurs se trompenten même temps ou manquent de vigilance.D’autre part, on ressent que l’efficacité deces dispositifs suppose un niveau de coordi-nation suffisant afin de n’oublier aucunedimension de l’activité bancaire. Ce niveaude coordination doit être assuré par une gou-vernance efficace du système de contrôle.

2. La gouvernance du systèmede contrôle interne

La gouvernance se donne comme objectifprincipal l’explication de la performance

organisationnelle en fonction des systèmesqui encadrent et contraignent les décisionsdes dirigeants (Charreaux, 1999). Lecontrôle est un de ces systèmes et il est par-ticulièrement présent dans les organisationsbancaires. Les recherches réalisées dans lesétablissements montrent une implicationcroissante et réelle nécessaire des structuresde gouvernance non seulement à travers lerôle joué par les comités d’audit mais éga-lement le comportement de l’ensemble duconseil d’administration ou encore à traversle mode de management insufflé par ladirection générale.Le comité d’audit et l’ensemble du conseild’administration voient aujourd’hui leurrôle évoluer. En premier lieu le COSO« Comitee of Sponsoring Organisations »5

vient d’ajouter une nouvelle notion « Riskappetite » dans son dispositif. Il s’agit duniveau de risque accepté par l’entreprisedans le but d’accroître sa valeur. Une foisce niveau fixé et décidé par le conseild’administration, les dirigeants pourrontévaluer les degrés de tolérance au risqueaux différents niveaux de l’organisation.Selon les recommandations même duCOSO la définition du Risk appetite doitprécéder l’élaboration de la stratégie del’entreprise. Une politique de risque pré-cise doit donc être établie en préalable àtoute décision stratégique et être validéepar le conseil d’administration. Le comitéd’audit n’assure donc pas simplement unemission de vérification de l’application decette politique de risque. Il est une force deproposition du contenu de cette politiqueavec l’appui d’un comité des risques,

Le risque opérationnel bancaire 105

4. Réflexion citée dans Les Échos, 16 avril 2008.5. Organisme international qui promeut des normes communes de contrôle interne.

Cet

art

icle

des

Edi

tions

Lav

oisi

er e

st d

ispo

nibl

e en

acc

es li

bre

et g

ratu

it su

r ar

chiv

es-r

fg.r

evue

sonl

ine.

com

généralement présent au sein des conseilsd’administration de banques.Comme l’indique le rapport du COSO II,les structures de gouvernance doivent êtrecapables d’assurer une synthèse entre lesinformations en provenance des acteursinternes comme de celles provenant desacteurs externes avec comme objectif prin-cipal une supervision de la gestion desrisques sur quelques domaines précis6 :– connaître le périmètre de couverture effi-cace de gestion des risques mis en place parle management de l’organisation ;– connaître et être en accord avec le riskappetite de l’organisation ;– revoir le portefeuille de risques et effec-tuer un rapprochement avec le riskappetite ;– être informé des risques les plus signifi-catifs et de la pertinence de la prise encharge de ces risques.Un ultime sujet sur lequel le conseil d’admi-nistration doit assurer une surveillance sesitue au niveau des dispositifs de rémunéra-tion à destination des dirigeants. La questiondu système d’incitation est fondamentaledans la recherche de l’efficacité écono-mique mais également de l’efficacité descontrôles. En effet, selon Brickley et al.(2000), les comportements déviants sontexclusivement individuels et de nature nonéthique en général. Ils prennent leur sourcedans l’inexistence des systèmes incitatifs oudans l’inefficacité de ces systèmes toutautant que dans l’opacité des structuresorganisationnelles. Les incitations peuventêtre contre-productives et inductrices decoûts si elles ne sont pas clairement définieset adaptée à la structure de l’organisation.Pour contrer et anticiper l’occurrence de ces

comportements il est donc nécessaire demettre sur pied des systèmes qui sont denature à influencer positivement le compor-tement des décideurs.Au niveau des instances exécutives de lagouvernance, la direction générale reste l’in-ducteur décisif de l’application de la poli-tique risque de l’établissement. Pour celaelle s’appuie sur un dispositif interne etexterne visant à sécuriser le fonctionnementde l’entreprise. Son rôle et son influencemanagériale sont décisive pour créer unenvironnement favorable qui doit influencerpositivement l’ensemble du système (Siguret et al., 2006). Cette idée d’« envi-ronnement favorable » suppose la mise enplace de structures organisationnelles clairesoù les responsabilités sont bien définies etles droits de décision sont alloués à ceux encharge d’exercer des missions de contrôle.La fonction d’audit interne aide la directiongénérale et le conseil d’administration avecson comité d’audit, à assumer effectivementet efficacement leurs responsabilités enmatière de dispositif de contrôle. Uncompte rendu semestriel d’activité et lesrésultats du contrôle interne sont présentésà l’organe délibérant ainsi qu’un rapportannuel des éléments essentiels et des ensei-gnements principaux des mesures derisques, notamment de répartition des enga-gements par zones de vulnérabilité. Lesaudits externes des commissaires auxcomptes complètent ce dispositif. Ils colla-borent notamment avec l’audit interne pouroptimiser la couverture des activités à audi-ter. Ils sont destinataires du rapport de syn-thèse décrivant les conditions dans les-quelles le contrôle interne est assuré surl’ensemble du groupe, et le rapport de syn-

106 Revue française de gestion – N° 191/2009

6. Rapport COSO II

Cet

art

icle

des

Edi

tions

Lav

oisi

er e

st d

ispo

nibl

e en

acc

es li

bre

et g

ratu

it su

r ar

chiv

es-r

fg.r

evue

sonl

ine.

com

thèse sur la mesure et la surveillance desrisques auxquels les établissements de cré-dits sont exposés.Enfin, comme pour le conseil d’administra-tion, la direction générale doit être vigilantesur les dispositifs d’incitation que celle-cimet en place et qui sont généralement fon-dés, dans les activités de trading notam-ment, sur la performance financière desacteurs.Un tel raisonnement peut s’étendre au dis-positif de contrôle. Tant que l’ensemble descollaborateurs ne percevront pas réellementla valeur ajoutée de l’activité de contrôle,tant qu’elle ne sera pas prise en compte plusexplicitement dans l’objectif des commer-ciaux comme des managers, le contrôle seravécu comme une contrainte supplémentairedans l’exercice de leur activité. Même siplusieurs banques à réseau nous ontconfirmé avoir intégré des objectifs deconformité dans les objectifs généraux desvendeurs, ces derniers reconnaissent sou-vent qu’ils ne font souvent pas le poids faceà des résultats commerciaux. On peutd’ailleurs se demander si la progressioncontinue de ce type d’objectifs est réelle-ment compatible avec un fonctionnementen totale conformité (Lamarque, 2008).

Il est donc essentiel que le rôle des ins-tances de gouvernance continue de s’ac-croître et que leur responsabilité continued’augmenter face aux instances de régula-tion. Il est nécessaire d’avoir aujourd’huiune vision élargie de la fonction contrôle,bien au-delà du contrôle de gestion, commepartie prenante du dispositif de gouver-nance (Bouquin, 2004). Ce modèle est doncsusceptible de constituer une référence pourles régulateurs dans le cadre de la définitionde leurs attentes en vue d’édicter des règlesou des directives ou lorsqu’ils procèdent àdes contrôles.Cet article avait pour ambition de plaider enfaveur d’un mélange équilibré entreapproches quantitative et qualitative de lagestion du risque opérationnel bancaire.Faut-il rappeler qu’un modèle n’est et nesera jamais rien de plus qu’une « grille delecture simplifiée face à la complexité, quiaide à prendre des décisions. Il est adapté àun problème spécifique et il faut aussi avoirune grande conscience de ses limites devalidité7 »? C’est lorsque la finance se metà chercher du risque pour trouver du rende-ment que la gestion des risques prend véri-tablement tout son sens.

BIBLIOGRAPHIE

Basel Committee on Banking Supervision, “Basel II : International Convergence of Capital Measurement and Capital Standards : A Revised Framework – Comprehensive Version”, Basel, June 2006.

Bouquin H., Le contrôle de gestion : contrôle de gestion, contrôle d’entreprise et gouvernance, 6e édition, PUF, coll. « Gestion », 2004.

Brickley J.A., Smith C.W. et Zimmerman J.-L., “Business ethics and organisational architecture”, Working paper n°FR 00-14, The Bradley Policy research center, 2000.

Le risque opérationnel bancaire 107

7. Interview de Nicole El Karoui, responsable du master « probabilités et finance » de l’université Paris-VI et pro-fesseur à l’École polytechnique, Les Échos, lundi 10 mars 2008.

Cet

art

icle

des

Edi

tions

Lav

oisi

er e

st d

ispo

nibl

e en

acc

es li

bre

et g

ratu

it su

r ar

chiv

es-r

fg.r

evue

sonl

ine.

com

Charreaux G., « La théorie positive de l’agence : lectures et relectures », De nouvelles théo-ries pour gérer l’entreprise du XXIe siècle, G. Koenig éd., Economica, 1999.

COSO 2, Entreprise Risk Management Framework, www.coso.org/Publications/ERM/COSO_ERM_ExecutiveSummary_french.pdf

Feller W., An introduction to Probability Theory and Its Applications, vol. II, second edition, Wiley Series in Probability and Mathematical Statistics, Wiley, 1971.

Frachot A., Moudoulaud O. et Roncalli T., “Loss Distribution Approach in Practice”, TheBasel Handbook : A Guide for Financial Practitioners, M. Ong (eds), Risk Books, 2003.

Frachot A., Roncalli T. et Salomon E., “Correlation and Diversification Effects in Operatio-nal Risk Modelling”, Operational Risk, May 2004.

Godowski Ch., « La quantification des risques de marché et de crédit : fondement de l’acti-vité bancaire », Management de la banque : Risques, relation client, Lamarque É. éd.,organisation, 2e édition, Pearson, 2008.

Klugman S., Panjer H. et Willmot G., Loss Models : from Data to Decisions, 2nd edition,Wiley, 2004.

Lamarque E., « Coordonner un système global de contrôle des risques : entre gouvernance etcontrôle interne », Management de la banque : Risques, relation client, Lamarque É. éd.,organisation, 2e édition, Pearson, 2008.

Mignola G., et Ugoccioni R., “Tests of Extreme Value Theory Applied to Operational RiskData”, Operational Risk E. Davis (eds), Risk Books, 2005.

Olfield G.S. et Santomero A.M., “Risk management in financial institutions”, SloanManagement Review, vol. 39, n° 1, 1997, p. 33-46.

Roncalli T., La gestion des risques financiers, Economica, 2004.Siguret J.-L., Fernandez E. et Koessler L., Le contrôle interne bancaire et la fraude, Dunod,

2006.

108 Revue française de gestion – N° 191/2009

Cet

art

icle

des

Edi

tions

Lav

oisi

er e

st d

ispo

nibl

e en

acc

es li

bre

et g

ratu

it su

r ar

chiv

es-r

fg.r

evue

sonl

ine.

com