44 Revue Banque nº670 Juin 2005

R I S Q U E S & R É G L E M E N TA T I O N

GESTION DES RISQUES OPÉRATIONNELSApproches traditionnellesinsuffisantes

Les exigences réglementairesportent autant sur le caractèreexceptionnel que sur le caractère attendu des risques opérationnels.

n demandant aux établisse-ments d’appréhender non seu-lement les risques courants(attendus) mais également lesrisques exceptionnels (inat-

tendus), le cadre réglementaire in-troduit une évolution majeure dansla gestion des risques opérationnels.D’une part, les méthodologies tra-ditionnelles issues de l’audit se fo-calisent sur la gestion des risquescourants et d’autre part, l’effort né-cessaire à leur application est tel qu’ila dissuadé de nombreux établisse-ments de mettre en œuvre une poli-tique ambitieuse de gestion desrisques opérationnels. Il est urgentqu’une prise de conscience se fassesur l’objectif à atteindre.

DE L’INSUFFISANCE DEL’APPROCHE TRADITIONNELLE...Auto-évaluation, cartographie desrisques, COSO (Committee of sponso-ring organizations of the treadway com-mission), cartographie des proces-sus... toutes ces méthodes utiliséespar les auditeurs depuis des annéesvisent à estimer les risques opéra-tionnels et l’efficacité des contrôlesmis en place.

Outre l’aspect prudentiel, ces mé-thodes ne semblent pas pertinentesdans le cadre d’une politique globa-le de gestion des risques opération-nels pour plusieurs raisons :z Les difficultés liées à la définitiondes risques opérationnelsLa première d’entre elles provientde la définition même des risquesopérationnels, par conséquent deson évaluation. S’agit-il de la perteattendue ou de la perte exception-nelle ?Les risques opérationnels sont in-hérents à l’activité bancaire et nouspensons que l’enjeu majeur est d’ap-préhender également la perte ex-ceptionnelle, tandis que les méthodestraditionnelles se concentrent sur lavaleur moyenne de la perte attendue.Dès lors, il est très préoccupant devoir que les résultats fournis par uneapproche traditionnelle en vue d’éva-luer le risque opérationnel s’oppo-sent à la réalité.En effet, les méthodes traditionnellesestiment les risques opérationnelspar une évaluation en fréquence (pro-babilité qu’un événement survien-ne) et en sévérité (valeur moyenneattendue de cet événement de risque).Cette évaluation vise à appréhenderla valeur moyenne des risques qu’unétablissement connaît sur une pé-riode donnée. Or les résultats four-nis sont inexacts. En effet, commenous allons le développer ci-après,ils inversent les expositions : là oùle risque est jugé élevé, il est en faitfaible ; pire encore là où il est jugé

faible, ce risque peut être maximal.Les approches traditionnelles créentdes risques fantômes et sous-esti-ment l’importance des risques réelspour les établissements, ceux-làmême qui doivent être une prioritédans la stratégie de gestion (schéma 1).L’erreur commise par les méthodestraditionnelles dans l’estimation dela sévérité est de résumer un risqueà un point en lieu et place d’une dis-tribution (cas pratique de l’accident devoiture). Le risk management vise àgérer et donc à identifier les risquesélevés. Ces risques sont caractériséspar une sévérité élevée et une fré-quence faible.z Les difficultés liées à la subjecti-vité des méthodes traditionnellesLa seconde vient du manque d’ob-jectivité des méthodes d’auto-éva-luation : est-il raisonnable que le doc-teur demande au patient de se dia-gnostiquer ? Le risk manager doit secomporter en docteur qui maîtrisel’ensemble des maladies basées surune connaissance des pertes que l’ona pu recenser à travers le monde.Prenons l’exemple de deux risquesopérationnels liés l’un au transfertd’argent, l’autre à une activité denégociation non autorisée. Dans laplupart des cas, les méthodes d’au-to-évaluation révéleront un risquetrès important sur les activités liéesau transfert d’argent et plus faiblesur les activités de négociation nonautorisée.Or, une analyse des pertes enregistréesdans les dernières années révélera

E

Ali Samad-Khan

PrésidentOpRisk Advisory LLC

Stéphane Le Blévec

BertrandMoncelet

ConsultantsOpRisk Advisory France

qu’aucune perte conséquente liée à untransfert d’argent n’a mis en difficultéun établissement car les pratiques font,qu’en cas d’erreur, un transfert d’unmontant opposé sera effectué. Aucontraire, l’exemple de la Baringsmontre que les conséquences liées auxactivités de négociation non autori-sées peuvent être catastrophiques pourun établissement.

... VERS UNE APPROCHEGLOBALE ET PRAGMATIQUEÀ l'instar des établissements leadersen matière de gestion des risquesopérationnels, la mise en place d’uneapproche basée avant tout sur l’ana-lyse des pertes nous paraît essen-tielle. Dès lors, une estimation cor-recte des risques permettra de réali-ser des arbitrages sur les contrôlesà effectuer basés sur une analyse encoûts/bénéfices.z La quantification des risques opé-rationnelsLes pertes sont les seuls éléments fac-tuels de l’environnement de la ges-tion des risques opérationnels. Leuranalyse, qu’elles proviennent de don-nées internes ou externes, permetnon seulement d’aboutir à une quan-tification économique mais donne

45Juin 2005 nº670 Revue Banque

Prenons l’exemple d’un accident de voiture, risqueque les assureurs parviennent à évaluer avec préci-sion. Si vous avez 10 % de chance d’avoir un accidentdont le coût est de 10 000 euros alors vous évaluerezvotre risque comme suit :

Probabilité * impact = risqueRisque 1 : 10 % * 10 000 € = 1 000 €

En réalité, le problème est plus complexe. En effet, les10 % de probabilité ne correspondent qu’à un risquedont la valeur est de 10 000 euros. Vous pouvez êtreexposé à des risques plus élevés : vous vous apercevezque le risque d’avoir un accident dont le coût est de50 000 euros a une probabilité de 1 %. Ainsi, nous ob-tenons deux estimations distinctes du risque « acci-dent de voiture » :

Probabilité * impact = risqueRisque 1 : 10 % * 10 000 € = 1 000 €Risque 2 : 1 % * 50 000 € = 500 €

Ce qui paraît immédiatement évident est que deuxévaluations correctes peuvent produire deux résul-

tats différents. La réalité est encore plus complexe carle nombre de combinaisons fréquence - impact estquasiment infini :

Probabilité * impact = risqueRisque 1 : 10 % * 10 000 € = 1 000 €Risque 2 : 1 % * 50 000 € = 500 €

Risque 999 : 5 % * 25 000 € = 1 250 €Risque 1 000 : 20 % * 6 000 € = 1 200 €

Combiné à la fréquence, cet exemple montre que lerisque le plus important (risque d’une perte de50 000 euros) ne ressort pas comme le risque le plusélevé mais comme le risque le plus faible si l’on ap-plique une méthode d’auto-évaluation des risquesclassique.Un argument fourni par les prescripteurs de ces ap-proches pourrait être qu’il ne s’agit pas d’évaluerles risques en multipliant l’évaluation des fréquenceset des impacts. Pourtant, chercher à diminuer desrisques dont la fréquence et la sévérité sont évaluéescomme élevées (3 et 3 dans le schéma 1) revient exac-tement à cela.

CAS PRATIQUE

L’exemple d’un accident de voiture

1. VISION RISK MANAGEMENT VERSUS COSO

Vision risk management

n/a n/a

n/a

Elevée (3)

Elevé (3)

Moyenne (2)

Moyen (2)

Faible (1)

Faible (1)

Fréq

uenc

e

Impact Impact

Approche traditionnelle

3

2

1

6

4

2

9

6

3

Elevée (3)

Elevé (3)

Moyenne (2)

Moyen (2)

Faible (1)

Faible (1)

Fréq

uenc

e

Risquesfantômes

Risques réels

46 Revue Banque nº670 Juin 2005

R I S Q U E S & R É G L E M E N TA T I O N

également la possibilité aux métiersd’apprécier les risques encourus enfonction des différentes catégoriesde risque.L’approche actuarielle provenant dumonde des assurances semble la pluspertinente. Ces pertes seront dé-composées à la fois en fréquence eten sévérité. Chacune de ces compo-santes (fréquence et sévérité) seraétudiée statistiquement.Si l’on reprend l’exemple de l’acci-dent de voiture, nous n’avons étudiéqu’une seule de ces composantes :la sévérité, qui est un niveau de risqueassocié à une probabilité : combienrisque de me coûter un accident devoiture ? La deuxième composantedu risque est la probabilité de sur-venance d’un accident de voiture :combien d’accidents peuvent m’ar-river dans l’année qui vient ?Les réponses à ces questions suiventdes lois de distribution. Afin d’esti-mer ces lois, seules les données his-toriques de pertes internes et externesdonnent, à l’heure actuelle, une fia-bilité suffisante. Les données ex-ternes jouent un rôle prépondérantface au manque d’historique, carelles servent à enrichir les données in-ternes (à travers une analyse de scé-nario par exemple).Une fois ces lois de distributionconnues et leurs paramètres esti-més, une simulation basée sur untirage aléatoire à deux niveaux(nombre d’accidents de voiture pos-

sible et coût pour chacun d’entreeux) permet d’obtenir une valeuragrégée des risques opérationnelspour chaque quantile (Bâle deman-dant pour le calcul des fonds propresun intervalle de confiance de 99,9 %,soit la perte agrégée annuelle maxi-male obtenue une fois par millé-naire) (schéma 2).Enfin, la prise en compte du dispo-sitif qualitatif permet d’ajuster l’es-timation quantitative en fonction deschangements apportés au disposi-tif de contrôle (dont les fruits ne por-teront que dans le temps). L’évalua-tion du dispositif de contrôle est ladeuxième pierre angulaire de notreprogramme de gestion des risquesopérationnels.z La mise en place d’un dispositifde contrôle basé sur une analysecoût/bénéficeUne fois les risques exceptionnelspotentiels connus, il est désormaispossible de déterminer les risquesopérationnels qui nécessitent un pi-lotage précis.Le principal moyen d’action est lamise en place de contrôles. Les mé-thodes traditionnelles sont prochesde la démarche qualité et ont ten-dance à multiplier les contrôles etdonc le coût lié à la gestion des risquesopérationnels (sans compter les coûtsde mise en œuvre dus à une analysesystématique des processus). Il noussemble très important de mettre enplace ces contrôles en prenant en

compte les risques exceptionnels, cequi implique de se concentrer sur leszones réellement sensibles.Reprenons l’exemple lié au transfertd’argent et aux activités de négocia-tion non autorisées. Une auto-éva-luation des risques classiques met-tra l’accent sur la diminution durisque transfert d’argent. Celui-cipassera par exemple par le rempla-cement d’un système de back-offi-ce, dont le coût annuel estimé seraitde 5 millions d’euros.L’amélioration des contrôles concer-nant les activités non autorisées pas-serait quant à elle par l’embauche dedeux auditeurs et la mise en œuvred’une séparation des pouvoirs ausein de l’organisation. Le coût an-nuel estimé serait de l’ordre de600000 euros. Seule la prise en comp-te de la partie exceptionnelle du risqueopérationnel mènera à la décisionnon pas de remplacer le système deback- office, mais de mieux contrô-ler les activités non autorisées.L’utilisation d’une méthode coûts/bé-néfices implique une fois de plusune appréciation correcte desrisques. Après avoir établi le profilde risques des différentes activitéspar catégorie d’événements, il de-vient possible de déterminer lescontrôles cibles à effectuer. Dès lors,l’évaluation des contrôles devientessentielle en vue de la mise en pla-ce d’un programme efficace de ré-duction des risques. n

Extrait du CP3n Une banque doit être à même de démontrer que son approche prenden compte lesévénementsexceptionnelsgénérateurs de pertespotentiellementsévères.

EN DEUX MOTS

2. APPROCHE ACTUARIELLE

Evénements de perte individuels

Matrice des pertes

Mét

iers

Types de fraudes

Internes Externes

Distribution des pertes Calcul de la Value at Risk Distribution agrégée des pertes

74 712 34574 603 70974 457 74574 345 95774 344 576

167 245142 456123 345113 34294 458

0 1 2 3 4

0-10

10-20

20-30

30-40

40-50

Fréquence des événements

Calcul de

VaR

Simulation

de Monte Carlo

Sévérité des pertesRisque

Moyenne

Perte annuelle agrégée (€)

99,9th

Percentile

2 590 45934 589

290 5464 390

1 390 45039 568

200 5467 390

3 390 45039 568

356 7894 390

2 399 45039 568

390 5464 390

1 345 6275 890

546 8903 238

1 390 45039 568

346 89010 567

1 490 45039 568

446 8903 238

1 590 45039 568

648 8903 238