Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

1 OTC Conseil – 25/27, avenue de Villiers – 75017 Paris – T : 01 53 30 23 50 -

1 OTC Conseil – 25/27, avenue de Villiers – 75017 Paris – T : 01 53 30 23 50 - www.otc-conseil.fr Risque opérationnel : vous êtes compliant mais êtes-vous performant ? Laurent de Castelbajac, Manager Raky Diack-Guissé, Consultante La gestion du risque opérationnel est née dans le secteur industriel et s’est imposée au secteur financier suite aux pertes causées par les dysfonctionnements du contrôle interne (Barings, Sumitumo,...). Le Comité de Bâle inclut depuis 2004 le risque opérationnel dans le calcul des fonds propres réglementaires. De plus, sous la pression des réglementations bancaires, les établissements financiers ont mis en place des dispositifs de « gestion active » du risque opérationnel. Dans le cadre d’un tel dispositif, la question se pose alors de l’identification des causes réelles du risque, de la pertinence des contrôles et de l’amélioration de la performance opérationnelle. Il s’agit en effet de ne pas alourdir les processus du fait de ces contrôles mais, bien au contraire, de tirer profit du dispositif. Les travaux effectués dans le cadre des projets réglementaires peuvent ainsi servir de point de départ à une véritable démarche d’amélioration de la performance (réduction des coûts, des délais, des défauts). Risk management et Qualité : deux démarches complémentaires ? Le risque opérationnel au sens de Bâle Le risque opérationnel est défini selon le Comité de Bâle comme étant « le risque de pertes résultant de carences ou de défaillances attribuables à des procédures, des personnels et des systèmes internes ou à des événements extérieurs ». Le Comité de Bâle classe les risques opérationnels en sept catégories : 1 Fraude interne (malversation, etc.), 2 Fraude externe (hold up, faux chèques,…), 3 Pratiques en matière d’emploi et de sécurité sur le lieu de travail (non-conformité au droit du travail,…), 4 Clients, produits et pratiques commerciales, 5 Dommages aux actifs corporels (incendies,…), 6 Dysfonctionnement de l’activité et des systèmes (pannes, piratages, etc.), 7 Exécution, livraison et gestion des processus (dysfonctionnement des processus, erreur humaine,…). La complexité des activités bancaires, la diversité croissante des modes de transaction financière et la multiplication des pratiques d’externalisation ont beaucoup contribué à la montée des risques opérationnels auxquels les institutions financières sont exposées. 2 OTC Conseil – 25/27, avenue de Villiers – 75017 Paris – T : 01 53 30 23 50 - www.otc-conseil.fr La contrainte réglementaire Dès que l’on parle de risque, le réglementaire n’est jamais bien loin et cela concerne tous les secteurs d’activité. En effet, à une époque d’aversion croissante au risque, le régulateur est de plus en plus incité à protéger les tiers des « dommages collatéraux » consécutifs à un sinistre. Ce n’est pas un hasard si les grandes catastrophes sont à l’origine de nouvelles réglementations (faillite d’Enron, catastrophe de Seveso1, etc.). La montée de l’exposition des banques au risque opérationnel devait donc nécessairement se traduire par une réglementation de plus en plus exigeante (CRBF2, transpositions des accords Bâle 2,…) les incitant à mettre en place un système de gestion active des risques. Les démarches de Risk Management Le « Risk Management » peut être défini comme un ensemble de processus de gestion dont le but est de maîtriser les risques entravant l’atteinte des objectifs de l’entreprise. Au Risk Management est associé le métier de Risk Manager. Le Risk Management est né aux USA dans les années 1960 puis s’est imposé en Europe. A l’origine, le Risk Manager se contentait de gérer l’ensemble des contrats d’assurance couvrant l’activité, c'est-à-dire les moyens de réparation du sinistre. Le Risk Management s’est sophistiqué au fur et à mesure des progrès technologiques et de l’apparition de nouveaux risques associés. Ainsi, depuis les années 90 sont apparues les cartographies des risques et les démarches pro-actives de prévention, de surveillance et de contrôle des risques. La récente norme ISO 31000 propose une version homogénéisée de ces démarches : Définition du contexte de l’entreprise (politique de risque, cartographie des activités,…) ; Identification des risques (cartographie des risques) ; Evaluation des risques (gravité, fréquence,…) ; Définition de la réponse face aux risques, avec quatre typologies de mesures (voir schéma3) : Transfert (assurance ou externalisation) ; Evitement (arrêt de l’activité) ; Réduction (par le moyen entre autres de contrôles adaptés) ; Acceptation du risque ; Evaluation itérative du risque résiduel (risque évalué après mise en œuvre de la réponse face au risque) jusqu’à ce que le risque résiduel soit jugé « acceptable » ; Contrôle permanent du dispositif. 1 Juillet 1976 : un nuage contenant de la dioxine s’échappe d’un réacteur de l’usine chimique Icmesa et se répand sur la plaine lombarde en Italie. Quatre communes dont Seveso sont touchées. Cet accident a donné son nom depuis à tous les sites de production classés à risques en Europe 2 CRBF : Comité de la Réglementation Bancaire et Financière 3 A ces quatre types de réponses, on ajoute souvent « l’autofinancement » du risque 3 OTC Conseil – 25/27, avenue de Villiers – 75017 Paris – T : 01 53 30 23 50 - www.otc-conseil.fr EXEMPLE LE TRAITEMENT DES CHÈQUES On identifie le risque « erreur sur traitement de chèques » au sein de l’activité « traitement des chèques ». Ce risque est considéré comme fréquent et peu grave. On va décider de le réduire en revoyant la chaîne de traitement et en ajoutant un contrôle en fin de chaîne4. On estime que cette mesure est de coût acceptable et qu’elle va réduire la fréquence d’occurrence à la valeur « faible ». On accepte alors le risque « résiduel ». Démarches d’amélioration de la performance Parallèlement aux démarches de Risk Management, les entreprises ont mis en place depuis les années 70 des démarches d’amélioration de la qualité et/ou de la performance (ISO 90005, TQM6, Lean, Six sigma, BPR7,….). Le but est dans ce cas de réduire les coûts, les défauts et les délais des processus. Le lien entre ces démarches d’amélioration et la réduction du risque opérationnel est diffus mais il existe bien : la réduction des défauts et des dysfonctionnements contribuent évidemment à la réduction du risque opérationnel. Toutefois, une nuance entre ces démarches et celle de Risk Management existe. Dans une démarche de Risk Management, on part d’un risque identifié a priori (« erreur sur traitement de chèques » cf. encart exemple) et on essaie de proposer une solution acceptable pour réduire le risque. Les démarches de Risk Management sont toutefois peu disertes sur la façon de trouver le contrôle le mieux adapté et on se fiera alors à l’expertise des métiers. Dans une démarche d’amélioration des processus de type « Lean », on aborde le problème d’un point de vue légèrement différent. L’idée est de partir d’un processus dont il faut corriger les dysfonctionnements, notamment en le simplifiant. Dans le cas du traitement de chèques, on passe en revue la chaîne de traitement avec l’objectif de réduire les coûts, les délais et les défauts. Un certain nombre d’outils (analyse de la valeur, diagramme de flux, AMDEC8) permettent de détecter les points faibles et de proposer des solutions. La réduction du risque « erreur sur traitement de chèques » est donc l’un des sous-produits de cette démarche, et bien souvent, cette réduction se fait sans identification ou mesure de ce risque. 4 Du point de vue de l’efficacité opérationnelle, un contrôle en fin de chaîne est une solution peu satisfaisante car, en plus d’être coûteux, il se contente de détecter les défauts du processus sans s’attaquer aux causes profondes. D’ailleurs, la plupart des processus qui ont fait l’objet d’un travail d’optimisation sont soumis à peu de contrôles en fin de chaîne, les contrôles étant plutôt implémentés de façon graduelle en amont tout le long du processus. Cet exemple est juste mentionné pour rappeler que les contrôles imaginés pour faire face aux risques identifiés ne sont pas toujours les plus pertinents 5 ISO 9000 : ensemble de normes relatives à la gestion de la qualité publiées par l'Organisation internationale de normalisation (ISO) 6 TQM : Total Quality Management 7 BPR : Business Process Reengineering 8 AMDEC : Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité (en anglais : FMECA : Failure Modes, Effects and Criticality Analysis, litt). 4 OTC Conseil – 25/27, avenue de Villiers – 75017 Paris – T : 01 53 30 23 50 - www.otc-conseil.fr Dans une démarche Six sigma, on commence par un problème chiffré avec un objectif d’amélioration (« il y a eu 5 % d’erreurs sur chèques ce mois-ci et on veut réduire ce taux à 1 % »). On cherche sur la base d’analyses de données validées la « cause réelle » du problème, de façon à proposer la solution la mieux adaptée. Là encore, la réduction du risque est un des sous-produits de la démarche. Quatre typologies de mesures de risques Risque peu grave récurrent Risque inacceptable Risque négligeable Risque majeur Réduction Autofinancement Evitement Transfert Réduction Autofinancement Acceptation Probabilité Impact Deux démarches complémentaires Le travers possible d’une démarche de Risk management mal menée peut être une accumulation de contrôles réduisant certes les pertes mais alourdissant les uploads/Management/ risque-operationnel.pdf