Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

RECOMMANDATIONS La Réforme BÂLE 2 Une présentation générale Décembre 2004 Group

RECOMMANDATIONS La Réforme BÂLE 2 Une présentation générale Décembre 2004 Groupe de travail Bâle 2 C L U B D E L A S E C U R I T E D E S S Y S T E M E S D ’ I N F O R M A T I O N F R A N Ç A I S 30, Rue Pierre Semard Téléphone : 01 53 25 08 80 Fax : 01 53 25 08 88 Mail : clusif@clusif.asso.fr Web : http://www.clusif.asso.f Remerciements Le CLUSIF remercie les personnes qui ont rendu possible la réalisation de ce document : Gérard CHAMORET VALOR Frédéric CHAVOUTIER LA POSTE Michèle COPITET EGONA-CONSULTING Jean-Paul GODARD SOCIÉTÉ GÉNÉRALE Paul GRASSART ARSEO Jean MAUFERON CAP GEMINI Lionel MOURER BULL SERVICES FRANCE Thierry RAMARD AGERIS Gérard REMY XP CONSEIL Avec l'aimable participation de : Pascal AUCLERT ALGORIEL Philippe CAILLE TELINDUS FRANCE M’Baireh LISETTE SUNGARD Jean-Louis ROULE Axel VERGELY SUNGARD La Réforme BÂLE 2 - II - © CLUSIF 2004 Table des matières 1. INTRODUCTION ................................................................................. 1 1.1. A QUI S’ADRESSE CE DOCUMENT ?........................................................................................1 1.2. PÉRIMÈTRE DU DOCUMENT ...................................................................................................2 2. PRÉSENTATION ................................................................................. 3 2.1. LES GRANDS PRINCIPES DE LA RÉFORME BÂLE 2...................................................................3 2.2. LES « RISQUES OPÉRATIONNELS » ET LEUR GESTION ...........................................................3 2.3. LES CATÉGORIES DE PERTES LIÉES AUX RISQUES OPÉRATIONNELS........................................5 2.4. LA GOUVERNANCE À METTRE EN PLACE................................................................................5 2.4.1 Développement d’un environnement approprié de gestion des risques.....5 2.4.2 Gestion du risque : Identification, Évaluation, Suivi et Réduction/Contrôle. .....................................................................................................................................6 2.4.3 Rôle de Surveillance .................................................................................................................6 2.4.4 Rôle de publication....................................................................................................................6 3. RISQUES OPÉRATIONNELS ET SYSTÈME D’INFORMATION............. 7 3.1. PRÉSENTS DANS TOUTES LES CATÉGORIES DE PERTES… .......................................................7 3.2. QUELS OUTILS PEUT-ON METTRE EN PLACE ? ........................................................................7 3.2.1 Perspective générale.................................................................................................................7 3.2.2 Base des incidents et base des pertes..............................................................................7 3.2.3 Outils d'analyse de scénarios ..............................................................................................8 3.2.4 Indicateurs clés de risques et évaluation du Contrôle Interne ........................8 3.3. RÔLES ET RELATIONS ENTRE RSSI, RISK MANAGEMENT OPÉRATIONNEL ET CONTRÔLE INTERNE............................................................................................................................................9 3.3.1 Le Contrôle Interne ...................................................................................................................9 3.3.2 Risk Management Opérationnel (RMO) .......................................................................9 3.3.3 RMO et Sécurité des Systèmes d’information..........................................................10 3.3.4 Contrôle Interne et Sécurité des Systèmes d’Information ................................10 4. CE QUE PEUT APPORTER BÂLE II AUX ENTREPRISES NON TENUES À LA RÉGLEMENTATION BANCAIRE ........................................................ 13 4.1. APPORTS DU PILIER III...................................................................................................13 4.2. APPORTS DU PILIER II ....................................................................................................14 4.3. APPORTS DU PILIER I......................................................................................................15 5. ANNEXE : ANALYSE DE SCÉNARIOS À L’AIDE DE LA MÉTHODE MEHARITM ............................................................................................. 16 6. ANNEXE : « SOUND PRACTICES » BONNES PRATIQUES POUR LA GESTION ET LA SURVEILLANCE DU RISQUE OPÉRATIONNEL................ 18 7. GLOSSAIRE DE LA TERMINOLOGIE BÂLE 2 ................................... 24 8. BIBLIOGRAPHIE .............................................................................. 25 La Réforme BÂLE 2 - III - © CLUSIF 2004 1. INTRODUCTION La réforme Bâle II du ratio de solvabilité bancaire s'inscrit dans une démarche mondiale de réglementation de la profession bancaire remontant à la fin des années 80, dont l’objectif premier est de prévenir les faillites. Cette réforme repose sur la quantification de la relation entre risques et fonds propres, ces derniers représentant le moyen ultime permettant de faire face à des pertes importantes. En pratique, il s’agit de respecter un ratio réglementaire entre fonds propres et actifs pondérés par leur niveau de risque. Mais cette réforme va plus loin : elle s'attaque au processus métier d'évaluation et de gestion des risques, dans une perspective qualité. Au-delà de la dimension financière qui est le calcul des fonds propres à allouer, Bâle II prend en compte et place ses exigences sur les systèmes de notation et de surveillance. Bien plus, et c'est l'aspect le plus novateur, la réforme ne se limite plus aux seuls risques financiers « classiques », comme le risque de crédit ou les risques de marché (risque de change, risque de taux, etc.), mais couvre aussi le Risque « Opérationnel » : « Le Risque Opérationnel se définit comme le risque de pertes résultant de carences ou de défaillances attribuables à des procédures, personnels et systèmes internes ou à des événements extérieurs. La définition inclut le risque juridique, mais exclut les risques stratégiques et d’atteinte à la réputation » (définition du Comité de Bâle). À ce titre, il ne suffit plus de se préoccuper de la capacité de paiement d'un tiers, mais il faut, entre autres, évaluer les éventuelles défaillances des processus internes ou des systèmes informatiques, ainsi que les risques d’erreur ou de fraude. 1.1. A qui s’adresse ce document ? Ce document se situe dans la perspective des travaux menés par le CLUSIF. Il traite donc plus particulièrement de la prise en compte des risques liés à la sécurité des Systèmes d´Information, à savoir une partie du volet « Risques Opérationnels » dans le cadre de la régulation des multiples risques auxquels sont confrontés les établissements financiers. À ce titre, le présent document s’adresse plus particulièrement aux Risk Managers et RSSI du domaine financier souhaitant acquérir une connaissance générale simplifiée de la réglementation Bâle II et s´interrogeant, plus particulièrement, sur les impacts de la réforme dans leur périmètre de responsabilité. D’autre part, ce document aborde les apports potentiels de Bâle II pour les domaines et entreprises non soumis à cette réglementation et offre des éléments de réflexion sur l’intérêt de la prise en compte du Risque Opérationnel dans leur domaine d’activité. Au-delà, il peut apporter des informations aux autres intervenants du secteur : chefs de projets, responsables d´exploitation, etc. En revanche, ayant été rédigé dans un souci de vulgarisation, ce document ne s'adresse pas aux spécialistes de ce domaine réglementaire. Il n'est pas non plus un document général sur la nouvelle réforme, car il ne prend pas en compte tous ses aspects. La Réforme BÂLE 2 - 1 - © CLUSIF 2004 1.2. Périmètre du document Ce document décrit essentiellement les approches du Risque Opérationnel sur les Systèmes d’Information dans les « Mesures Avancées1 » de calcul des fonds propres. • les parties « risques de crédit » et « risques de marché » ne sont pas abordées dans ce document, • seule la problématique des Systèmes d’Information est traitée dans la suite, • les approches « Indicateurs de Base » et « Standard », qui permettent un calcul forfaitaire des fonds propres liés au risque opérationnel ne sont pas présentées. 1 Cf. présentation des « Risques Opérationnels » et de leur gestion au chapitre 2.2. La Réforme BÂLE 2 - 2 - © CLUSIF 2004 2. PRÉSENTATION 2.1. Les grands principes de la réforme Bâle 2 Dans le cadre des travaux menés par le Comité de Bâle et la Commission Européenne, le ratio de solvabilité des établissements bancaires fera l'objet d'une réforme importante à l'échéance de fin 2006. Le nouvel accord de Bâle sur les fonds propres a été finalisé en juin 2004 et adopté par les gouverneurs des banques centrales et les superviseurs des pays du G10. Le dispositif repose sur trois types d'obligations (les 3 piliers) : • les établissements devront disposer d'un montant de fonds propres (Pilier I) au moins égal à la somme des montants calculés selon l’une des méthodes proposées pour chacune des catégories de risques : o Risques de Crédit, o Risques de Marché, o Risques Opérationnels, • les autorités disposeront de pouvoirs renforcés (Pilier II) et pourront en particulier imposer, au cas par cas, des exigences de fonds propres supérieures à celles résultant de la méthode utilisée, • les établissements étant soumis à la « discipline de marché » (Pilier III), seront tenus de publier des informations très complètes sur la nature, le volume et les méthodes de gestion de leurs risques ainsi que sur l'adéquation de leurs fonds propres. Les nouvelles règles en matière de capital vont encourager la gestion professionnelle des risques et du capital par les banques. Bâle II est une réforme structurante et les établissements ne pourront faire l’économie d’un investissement significatif (Systèmes d’Information, gestion des risques, communication, formation, etc.). L’enjeu du nouveau dispositif est tout aussi essentiel pour les autorités de contrôle (ressources, application cohérente entre pays). 2.2. Les « Risques Opérationnels » et leur gestion Définition : Risque Opérationnel = risque de pertes dues à une inadéquation ou à une défaillance des procédures, personnels, systèmes internes ou à des événements extérieurs. Les Risques Opérationnels, dont la prise en compte constitue une des innovations de la réforme, incluent notamment : • les risques relatifs à la sécurité des biens et des personnes (incendie, inondation, tremblement de terre, attaque physique, sabotage, vol et fraude), • les risques informatiques, liés aux développements et à la maintenance des programmes, aux traitements et à l'utilisation des services de télécommunications. Cette catégorie inclut en particulier le risque lié aux défauts de conception ou de réalisation d'une application, les incidents d'exploitation dans les systèmes de production, les accès non autorisés et les erreurs de traitement, ainsi que les pertes ou altérations accidentelles des données transmises et les défaillances dans la conservation de ces données, La Réforme BÂLE 2 - 3 - © CLUSIF 2004 • les risques de gestion interne, liés au fonctionnement interne de la banque, incluant les erreurs dans les traitements administratifs et comptables des opérations, les erreurs de conception ou de uploads/s1/bale-2-risques-operationnels-pdf.pdf