Malgré le renforcement de la réglementation sur la gestion des risques ces dernières années (Bâle II, MIFiD, Sarbanes – Oxley / Loi sur la Sécurité Financière, Blanchiment et lutte contre le financement du terrorisme…), le secteur bancaire n’a pas pu éviter
l’été dernier la crise des subprimes. Cette crise qui, par contagion a affecté tout le reste de l’économie, a permis de mettre en évidence la fragilité des différents dispositifs de maîtrise des risques en vigueur dans les établissements financiers, les agences de notation et les autorités de surveillance des marchés financiers. Cette fragilité a également été illustrée par la fraude interne qui a coûté à la Société Générale 4,9 Mds d’Euros.
Il résulte de ces deux faits majeurs le constat que l’avènement et la transposition de nouvelles réglementations ne permettent pas aux entreprises d’être complètement exonérés des facteurs de risques à l’origine de ces pertes financières. En effet, les récentes mesures prises par les Autorités américaines pour renforcer le secteur financier avec l’extension des pouvoirs de la Federal Reserve Bank ainsi que les réflexions et initiatives européennes ne pourront être efficaces que si les différents acteurs s’approprient pleinement leur système de gestion des risques.
S’approprier son dispositif de gestion des risques opérationnels revient à mettre en place une démarche structurée jalonnée par un certain nombre d’étapes indispensables parmi lesquelles figurent :
la définition d’une politique de gestion des risques
Il s’agit de définir un cadre de référence qui fixe les principes et règles de gestion des risques potentiels et avérés qui affectent l’entreprise (critères d’évaluation, gouvernance du comité des risques…). En effet, les différentes activités et politiques de développement initiées par l’entreprise l’exposent à des risques opérationnels pouvant générer des pertes financières. Ces risques ne peuvent être appréhendés qu’avec l’instauration d’une véritable culture d’entreprise. La politique de gestion des risques opérationnels est le premier jalon de cet investissement après la définition de son profil de risque. Elle doit être en parfaite adéquation avec les différentes textes réglementaires, notamment Bâle II, ce qui implique la mise en place d’une veille réglementaire pour une mise à jour régulière de cette politique.
Enfin la définition d’une politique de gestion des risques opérationnels doit être érigée au même niveau de priorité que les actions commerciales pour éviter une dégradation de la performance de l’entreprise.
L’identification des risques
Cette phase consiste à identifier et structurer les risques opérationnels qui seront présentés in fine dans un support de cartographie des risques.
Il existe plusieurs approches pour parvenir à ce résultat.
- Approche par les processus : il s’agit d’effectuer à partir de la cartographie des processus un inventaire des différents risques opérationnels associés aux tâches qui composent ces processus. Pour cela, une analyse s’impose sur les inputs, les process de transformation et les outputs livrés à l’issue de chaque processus.
- Approche par interview des opérationnels : ce procédé permet à partir de questionnaires préétablis de lister les risques opérationnels identifiés par les opérationnels comme étant ceux qui affectent réellement ou potentiellement leurs activités.
Quelle que soit l’approche retenue pour identifier les risques, il convient de la compléter par un rapprochement avec un benchmark sectoriel sur les risques opérationnels.
Le résultat de ces travaux doit être formalisé dans un support de cartographie qui présenterait par type de processus les risques associés.
L’évaluation des risques
A partir de la cartographie des risques opérationnels établis, il convient d’effectuer une évaluation des risques identifiés. Pour cela, une définition des critères d’évaluation des risques doit être effectuée pour objectiver ce processus d’évaluation.
L’observation des pratiques de place dans ce domaine permet d’identifier les critères suivants :
- Gravité : c’est l’impact maximum de l’exposition réelle ou potentielle aux situations de risque. C’est le concept de risque brut.
- Détection/Gestion : il s’agit de la capacité de l’entreprise à identifier et à réagir face aux évènements de risques. C’est la notion de dispositif de maîtrise des risques.
- Occurrence : c’est la probabilité d’apparition des situations de risque. Il s’agit du concept de fréquence des événements. Pour établir cette probabilité il convient de recenser les incidents intervenus sur la période et de constituer une base d’historiques qui interviendra dans le processus décisionnel.
En synthèse, l’appréciation des risques opérationnels doit se faire au regard de ces critères, complétée de l’évaluation du risque résiduel pour obtenir le risque net.
Ce processus d’évaluation des risques opérationnels doit être intégré comme un jalon marquant et indispensable dans les process d’établissement du cycle de vie des projets et des produits.
La surveillance des risques
Cette phase correspond à la mise en place d’un dispositif de suivi et de contrôle du profil de risque de l’entreprise. Elle démarre avec la détermination du niveau de risque tolérable pour l’entreprise. Ce seuil de tolérance s’entend non seulement en termes de risque maximum mais aussi en termes de risque atypique. Bien entendu, le seuil de tolérance défini par l’entreprise doit faire l’objet d’une remise en cause régulière afin de s’assurer de sa pertinence au regard de l’évolution des facteurs endogènes (politique commerciale, formation…) et exogènes (réglementation, concurrence…).
Le dispositif de surveillance défini par l’entreprise et piloté par le risk management doit permettre de :
- Accroitre la visibilité sur les risques ;
- Mieux structurer et améliorer les processus ;
- Préserver les résultats ou performances commerciales ;
- Optimiser la gestion des charges ;
- Affecter plus efficacement les fonds propres.
Pour atteindre ces objectifs, l’entreprise s’appuie sur un réseau de « correspondants risques » en charge d’un « portefeuille de risques » associé à des activités. Il s’agira pour cette équipe de :
- mettre en œuvre les actions de détection des risques (notion de limites…) ;
- procéder à l’analyse des facteurs causals des évènements de risques (absence de clauses d’audit dans les contrats…) ;
- s’assurer de la mise en œuvre d’actions correctrices ainsi que la définition des plans de secours opérationnels (suivi des recommandations…).
Pour compléter ce dispositif, il convient de définir des indicateurs majeurs sur la gestion des risques qui pourront être présentés à tous les niveaux de l’entreprise (management, organes délibérants et exécutifs).
Cet ensemble de dispositions constituent le socle minimum nécessaire pour assurer la responsabilisation, la sensibilisation et la formation des acteurs sur les problématiques de risques.