Bâle II

Les normes Bâle II (le Nouvel Accord de Bâle) constituent un dispositif prudentiel destiné à mieux
appréhender les risques bancaires et principalement le risque de crédit ou de contrepartie et les
exigences, pour garantir un niveau minimum de capitaux propres, afin d'assurer la solidité financière.
Ces directives ont été préparées depuis 1988 par le Comité de Bâle, sous l'égide de la Banque des
règlements internationaux et ont abouti à la publication de la Directive CRD.

Les normes de Bâle II devraient remplacer les normes mises en place par Bâle I en 1988 et visent
notamment à la mise en place du ratio McDonough destiné à remplacer le ratio Cooke. En 2010, le
minimum de fonds propres Tiers-I requis par les accords de Bâle est de 4 % mais les investisseurs
exigent plutôt des banques un ratio supérieur à 10 %1. Face aux 500 milliards d'euros de produits
dérivés2 et aux risques hors bilan qu'ils représentent3, la révision des normes bancaires Bâle III est en
cours.

Suivant le même canevas, de nouvelles normes Solvabilité II sont, en 2008, en cours de discussion

pour les sociétés d'assurances et de réassurance.

Sommaire

  [masquer] 

 1 Les accords de Bâle et le ratio Cooke

 2 Les accords de Bâle II et le ratio McDonough
o 2.1 Présentation
o 2.2 Pilier I : l'exigence de fonds propres

 2.2.1 Critiques des méthodes

o 2.3 Pilier II : la procédure de surveillance de la gestion des fonds propres
o 2.4 Pilier III : la discipline de marché

 3 Calendrier de mise en place

 4 Sources
o 4.1 Notes
o 4.2 Références

 5 Voir aussi
o 5.1 Articles connexes
o 5.2 Liens externes
Les accords de Bâle et le ratio Cooke[modifier | modifier le code]

En 1988, le Comité de Bâle, composé des gouverneurs des banques centrales de 13 pays de
l'OCDEnote 1 publie les premiers « Accords de Bâle », ensemble de recommandations dont le pivot est
la mise en place d'un ratio minimal de fonds propres par rapport à l'ensemble des crédits accordés,
le ratio Cooke.

Ainsi sont définies les notions de :

 fonds propres réglementaires ;

 et d'ensemble des engagements de crédit.
Ces deux notions étant rigoureusement précisées par rapport à un système comptable (comptes
concernés, pondérations éventuelles).

Le rapport des deux valeurs ne doit alors pas être inférieur à 8 % dans les propositions des Accords
de Bâle.

Il ne s'agit que de recommandations, charge à chaque État membre (et à tout autre état intéressé) de
les transposer dans son droit propre. Ainsi, en France est appliqué depuis le 1er janvier 1993 le ratio
de solvabilité européen (directive 89/647/CEE du 18 décembre 1989), traduite dans le droit français
par le règlement 91-05 du Comité de la réglementation bancaire et financière et l'instruction 91-02 de
la Commission Bancaire.

En 2008, les accords de Bâle sont appliqués dans plus d'une centaine de pays.

Les accords de Bâle II et le ratio McDonough[modifier | modifier le code]

Présentation[modifier | modifier le code]

La grande limite du ratio Cooke, et donc des réglementations issues des premiers accords de Bâle,
est liée à la définition des engagements de crédit. La principale variable prise en compte était le
montant du crédit distribué. À la lumière de la théorie financière moderne, il apparaît qu'est négligée la
dimension essentielle de la qualité de l'emprunteur, et donc du risque de crédit qu'il représente.

Le Comité de Bâle a proposé en 2004 un nouvel ensemble de recommandations, au terme duquel

sera définie une mesure plus pertinente du risque de crédit, avec en particulier la prise en compte de
la qualité de l'emprunteur, y compris par l'intermédiaire d'un système de notation financière interne
propre à chaque établissement (dénommé « IRB » pour Internal Rating Based).

Le nouveau ratio de solvabilité est le ratio McDonough, du nom du président du Comité de Bâle à ce
moment-là, William J. McDonough.

Les recommandations de Bâle II s'appuient sur trois piliers (terme employé explicitement dans le texte
des accords) :

 l'exigence de fonds propres (ratio de solvabilité McDonough) ;

 la procédure de surveillance de la gestion des fonds propres ;
 la discipline du marché (transparence dans la communication des établissements).
Pilier I : l'exigence de fonds propres[modifier | modifier le code]

L'exigence de fonds propres affine l'accord de 1988 et cherche à rendre les fonds propres cohérents
avec les risques encourus par les établissements financiers. Parmi les nouveautés, signalons la prise
en compte des risques opérationnels (fraude et pannes de système) et des risques de marché, en
complément du risque de crédit ou de contrepartie.

Cette exigence fait passer d'un ratio Cooke où

Fonds propres de la banque > 8 % des risques de crédits

à un ratio McDonough où

Fonds propres de la banque > 8 % des (risques de crédits (85 %) + de marché (5
%) + opérationnels (10 %))
De plus, le calcul des risques de crédits se précise par une pondération plus fine des encours
(l'encours pondéré = RWA) avec une prise en compte :
 du risque de défaut de la contrepartie (le client emprunteur) ;
 du risque sur la ligne de crédit (type de crédit, durée, garantie) de l'encours.
Ces risques s'expriment par des probabilités :

PD : Probabilité de défaut qui dépend des caractéristiques de la contrepartie (société X) et

non de la seule catégorie à laquelle se rattache l'emprunteur (par exemple grandes
entreprises)
LGD : Taux de perte en cas de défaut qui dépend des caractéristiques du crédit accordé
qui s'appliquent sur l'encours à un an du client : l'EAD (exposition au moment du
défaut).

Pour le risque de crédit, les banques peuvent employer différents mécanismes

d'évaluation :

 La méthode dite « standard » consiste à utiliser des systèmes de notation

fournis par des organismes externes (agences de notation).
 Les méthodes plus sophistiquées (méthodes IRB) avec la méthode dite IRB-
fondation et celle dite IRB-avancée impliquent des méthodologies internes et
propres à l'établissement financier d'évaluation de cotes ou de notes, afin de
peser le risque relatif du crédit.
Ainsi, en méthode standard, les PD et les LGD sont imposés par le régulateur
(commission bancaire en France, par exemple), soit directement pour la LGD, soit en
imposant un organisme de notation (Cotation BDF, Standard & Poor's...)

En méthode IRB-fondation, la banque estime sa PD et le LGD reste imposé par le

régulateur. En méthode IRB-avancée, la banque maîtrise toutes ses composantes.

Le choix de la méthode permet à une banque d'identifier ses risques propres en

fonction de sa gestion. Une banque qui voudrait être au plus près de sa réalité
tendra vers le choix d'une méthode avancée. Mais en contrepartie, l'investissement
est d'autant plus important : la détermination d'une LGD demande ainsi la gestion et
l'historisation de plus de 150 données mensuelles sur un minimum de cinq ans sur
chacun des crédits accordés.

Le calcul du risque de crédit est alors :

RWA = f(PD;LGD) x EAD où f respecte une loi normale. Ce risque ainsi calculé est le risque
inattendu.
Il se complète du calcul d'une perte attendue (Expected Loss) :

EL = PDxLGDxEAD
Dans le ratio :

Fonds propres pris en compte / ( Risque de crédit + Risque opérationnel + Risque de

Marché ) > 8 %
la somme des RWA de chacun des clients composera le risque de
crédit.

La méthodologie mise en place pour évaluer l'EAD est appelée EEPE.

Les fonds propres pris en compte sont les fonds propres comptables
réduits de l'insuffisance des provisions individuelles sur les clients
comparées à leur perte attendue. Or, aucune banque ne provisionne un
« très bon client » alors que pour ce même client, il existe déjà une
perte attendue. Inversement, un client au contentieux mais dont tous les
crédits seraient garantis par des garanties réelles, valorisée au-dessus
de l'encours de crédit (par exemple, un prêt de 100 000 euros contre-
garanti par 200 000 euros de placements) entraîne en méthode IRB-
fondation une perte attendue de 45 000 euros. Il existe ainsi des
différentiels entre perte attendue et provisions qui impactent le ratio par
les fonds propres (le numérateur) 1/8 % soit 12 fois plus que l'encours
de crédit pondéré (le dénominateur).

Critiques des méthodes[modifier | modifier le code]

Des mesures produites par un oligopole privé

Certains experts tels que les économistes du World Pensions Council

considèrent que les recommandations de Bâle II, transposées en droit
européen par la directive dite “ fonds propres réglementaires” entrée en
application en 2008, ont obligé les banques européennes et la Banque
centrale européenne à recourir plus que jamais aux estimations
standardisées du “risque crédit” commercialisées par deux agences de
notation américaines. Ils estiment qu'à de nombreux égards, Moody’s et
S&P forment un duopole privé dérégulé particulièrement opaque,
institutionnalisé et entretenu par des pouvoirs publics passifs qui lui ont
donné en fermage des pans entiers de leur pouvoir de régulation4...

Les méthodes proposées

Il existerait un décalage entre réglementation bancaire, pratiques sur le

marché bancaire et suivi des risques que ce dernier représente.
Complexité des normes et investissement dans le système d'évaluation
des risques doit en théorie permettre une économie de fonds propres
pour la banque.

Cependant, certaines limites de la réglementation de Bâle rendent plus

difficile d'obtenir cet avantage.

Exemples

 La systématisation de la définition des client douteux : quel que soit

son encours de crédit, son niveau d'activité et même
intrinsèquement sa solvabilité, un client est douteux dès qu'il
dépasse de 1 euro son autorisation de crédit pendant 90 jours
consécutifs. Ainsi des clients ayant des engagements de dizaines
de millions d'euros garantis par autant de SICAV peuvent avoir une
compte débiteur pour 100 euros de commissions et devenir
douteux.

 Un client dispose historiquement d'une ligne d'engagement de livrer

des fonds à terme à une de ses filiales que vous contre-garantissez
 par un Engagement par signature. Cet engagements par signature,
ici une caution, est lui-même contre-garanti par des SICAV détenus
à la banque. En cas de défaut, la banque règle l'engagement du
client envers sa filiale, mais en contrepartie se rembourse par le
produit de la vente des SICAV. Ce client n'est pas insolvable. Si la
commission de quelques centaines d'euros est facturée pendant
ses vacances, son compte devient débiteur. Si le débit n'est pas
régularisé dans les 90 jours, l'encours client devient douteux.

 L'accroissement du nombre de défauts entraîne donc lors des

recalibrages des PD, un accroissement des taux de PD sans pour
autant refléter un accroissement des pertes finales. Dans ce cas,
en méthode IRB-avancée, l'accroissement des PD entraîne une
réduction des LGD (de façon à conserver un EL proche de la perte
finale constatée, donc stable), mais la méthode IRB-fondation ne
propose qu'une hausse des PD avec stabilité de la LGD à 45 %
(fixée par le régulateur).
Au final, la méthode IRB-fondation est sur-consommatrice de fonds
propres par rapport au ratio Cooke, via le dénominateur du ratio (pour
environ 15 % à 50 %[réf. nécessaire]).

L'application et le suivi des risques

Bâle II n'est plus qu'un simple ratio réglementaire (pilier 1), mais
dépasse le ratio Cooke en imposant un suivi exhaustif (pilier 2), une
communication et une information financière (pilier 3).

Au sein du pilier 2, la séparation des services de « décision et

contrôles » (des sièges bancaires et des « ex-direction des
engagements ») en deux activités spécifiques est délicate, coûteuse en
termes de coefficient d'exploitation et incohérente avec le métier
(division du travail et méconnaissance des fonds de commerce des
banques que représentent les agences[réf. nécessaire]).

La détermination statistique du défaut

Le métier de banquier est celui d'accepter des risques rentables et si
possibles non avérés. Une classification, peut-être mathématiquement
simpliste, montre que parmi les de crédits à court terme offerts aux
clients, le découvert est plus risqué que la cession Dailly, laquelle est
plus risquée que l'escompte de papier acceptée.

Dans la pondération des LGD en méthode avancée, ces résultats

statistiques peuvent être renversés du fait du caractère moins sensible
au risque des populations auquel sont offerts... les produits moins
risqués. Ainsi, il est possible d'afficher un LGD à 40 % pour l'escompte
et à 35 % pour le découvert. Paradoxalement, la réglementation pousse
à proposer le découvert à un client moyennement solvable, ce qui
cumule un risque client et un risque crédit.

Ces exemples reflètent les limites statistiques des méthodes

d'évaluation des risques qui butent sur une problématique de
granularité, mais aussi s'opposent aux "bonnes pratiques" prudentielles
des banquiers qui pour limiter leurs risques accordent aux clients les
moins solvables des crédits plus sécurisés (et donc "dégradent la LGD
de ces crédits).

Les impossibilités techniques

Depuis la création des OPCVM, aucune n'est tombée en défaut.
Pourtant le texte de Bâle II impose en cas d'impossibilité de noter le
sous-jacent final de l'OPCVM de considérer le RWA associé en
méthode IRB, comme étant de 370 %. En d'autres termes, si la banque
ne peut prouver l'exact composante du risque, elle doit compenser par
des fonds propres. Or, les banques ne communiquent pas sur les sous-
jacents des OPCVM Leur risque en termes de consommation de fonds
propres est donc supérieur à celui d'un crédit risqué.

Pilier II : la procédure de surveillance de la gestion des fonds

propres[modifier | modifier le code]

Comme les stratégies des banques peuvent varier quant à la

composition de l'actif et la prise de risques, les banques centrales
auront plus de liberté dans l'établissement de normes face aux
banques, pouvant hausser les exigences de capital là où elles le
jugeront nécessaires.

Cette partie examine les principes essentiels de la surveillance

prudentielle et comporte des recommandations concernant la gestion
des risques ainsi que la transparence et la responsabilité prudentielle.

Cette nécessité s'appliquera de deux façons :

1. validation des méthodes statistiques employées au pilier 1

(back testing) : La banque devra prouver a posteriori la validité
de ses méthodes définies a priori en fonction de ses données
statistiques et cela sur des périodes assez longues (5 à 7 ans).
Elle devra en outre être capable de "tracer" l'origine de ses
données.
2. test de validité des fonds propres en cas de crise économique :
La banque devra prouver que sur ses segments de clientèle,
ses fonds propres sont suffisants pour supporter une crise
économique touchant l'un ou tous de ces secteurs.
La commission bancaire pourra en fonction de ces résultats imposer la
nécessité de fonds propres supplémentaires.

Pilier III : la discipline de marché[modifier | modifier le code]

Des règles de transparence sont établies quant à l'information mise à la

disposition du public sur l'actif, les risques et leur gestion.

L'application de Bâle II est une puissante machine qui « formate » les

données de gestion d'une banque.

Ses conséquences sont de trois ordres au niveau du pilier III :

 1. Uniformisation des bonnes pratiques bancaires : quelle que
soit la banque et quelle que soit la réglementation qui la régit
(droits nationaux) les pratiques doivent être transparentes et
uniformisées.
2. Les bases mises en place pour ce calcul sont une puissante
source de données de gestion, qui réconcilient les vues
risques, comptables et financières ;
3. Transparence financière : les analystes trouveront une lecture
des portefeuilles de risque identique pour toute banque dans
tous pays.
Calendrier de mise en place[modifier | modifier le code]

En ce qui concerne l'Union européenne (et donc l'ensemble des États

membres)5 :

 26 juin 2004 : publication des recommandations dites « Bâle II » ;

 1er janvier 2006 : Les établissements de crédit calculent en parallèle
le ratio Cooke (Bâle I) et le ratio McDonough (Bâle II) ;
 14 juin 2006 : adoption de la directive européenne (dite CRD) de
traduction de l'accord ;
 1er janvier 2007 : entrée en vigueur de la directive européenne pour
les approches standards et notation interne fondation ;
 1er janvier 2008 : entrée en vigueur de la directive pour l'approche
notation interne avancée.
Sources[modifier | modifier le code]

Risque opérationnel (établissement financier)

Un article de Wikipédia, l'encyclopédie libre.

(Redirigé depuis Risque opérationnel)
Aller à : Navigation, rechercher
Cet article ne cite pas suffisamment ses sources (mars 2008).

Si vous disposez d'ouvrages ou d'articles de référence ou si vous connaissez des sites web de qualité
traitant du thème abordé ici, merci de compléter l'article en donnant les références utiles à sa
vérifiabilité et en les liant à la section « Notes et références ». (Modifier l'article)

Le risque opérationnel pour les établissements financiers (banque et assurance) est le risque de pertes directes
ou indirectes dues à une inadéquation ou à une défaillance des procédures de l'établissement (analyse ou contrôle
absent ou incomplet, procédure non sécurisée), de son personnel (erreur, malveillance et fraude), des systèmes
internes (panne de l'informatique…) ou à des risques externes (inondation, incendie…). Dans le cadre du
dispositif Bâle II, la définition du risque opérationnel, les procédures à mettre en place pour le limiter et les
méthodes de quantification ont été normalisées. L'objectif de ce dispositif, mis en place dans les banques
européennes en 2008, est d'éviter le risque systémique.
Les risques opérationnels ont pris une importance considérable dans le contexte bancaire né de la dérégulation,
de l'imbrication croissante des acteurs du monde financier, de l'augmentation des capitaux manipulés et de la
sophistication des produits comme l'ont montré les affaires Barings et Société Générale.

Dans le cadre du dispositif Bâle II ont été définies les bonnes pratiques à mettre en place par chaque
établissement financier. Le régulateur financier national est chargé de les évaluer et de les contrôler. Les
établissements financiers peuvent opter pour un dispositif d'évaluation de ces risques plus ou moins sophistiqué.
Depuis la réforme Bâle II, le risque opérationnel entre dans le calcul des fonds propres réglementaires de
l'établissement bancaire avec une incidence proportionnelle à la qualité de ses procédures et de son dispositif de
suivi et d'évaluation.

Des mesures similaires à celles mises en œuvre dans le cadre de Bâle II sont en cours de définition pour les
compagnies d'assurance dans le cadre de la réglementation Solvabilité II.

Sommaire

 [masquer] 

 1 Définition du risque opérationnel

 2 Enjeux des risques opérationnels
 3 Contexte de la régulation des risques opérationnels propre au dispositif Bâle II
 4 Les bonnes pratiques en matière de risques opérationnels
o 4.1 Les principes de bonnes pratiques
 4.1.1 Élaboration d’un environnement adéquat pour la gestion du risque
[opérationnel]
 4.1.2 Gestion du risque  : identification, évaluation, suivi et maîtrise/atténuation du
risque [opérationnel]
 4.1.3 Rôle des superviseurs
 4.1.4 Rôle de la communication financière
o 4.2 Les enjeux organisationnels de mise en œuvre des principes de bonnes pratiques
 4.2.1 Le modèle de processement des risques opérationnels
 4.2.1.1 Identification
 4.2.1.2 Évaluation
 4.2.1.3 Suivi
 4.2.1.4 Maîtrise et atténuation
 4.2.2 Des fonctionnalités relativement standardisées
o 4.3 La complexité des problèmes de mise en œuvre
 5 La surveillance prudentielle des superviseurs
 6 Notes et références
 7 Bibliographie et Autres Sources
 8 Voir aussi
o 8.1 Liens internes
o 8.2 Liens externes

Définition du risque opérationnel[modifier | modifier le code]

Le régulateur du dispositif Bâle II définit le risque opérationnel comme celui de pertes directes ou indirectes
dues à une inadéquation ou à une défaillance des procédures, du personnel et des systèmes internes. Cette
définition inclut le risque juridique; toutefois, le risque de réputation (risque de perte résultant d'une atteinte à la
réputation de l'institution bancaire) et le risque stratégique (risque de perte résultant d'une mauvaise décision
stratégique) n'y sont pas inclus.

Cette définition recouvre notamment les erreurs humaines, les fraudes et malveillances, les défaillances des
systèmes d'information, les problèmes liés à la gestion du personnel, les litiges commerciaux, les accidents,
incendies, inondations.

Le Comité de Bâle a retenu une classification qui institue sept catégories d'évènements liés à ce risque :
 1. Fraude interne : par exemple, informations inexactes sur les positions, falsifications, vol commis par un
employé et délit d’initié d’un employé opérant pour son propre compte.
2. Fraude externe : par exemple, braquage, faux en écriture et dommages dus au piratage informatique.
3. Pratiques en matière d'emploi et sécurité sur le lieu de travail : par exemple, demandes d’indemnisation
de travailleurs, violation des règles de santé et de sécurité des employés, activités syndicales, plaintes
pour discrimination et responsabilité civile en général.
4. Clients, produits et pratiques commerciales : par exemple, violation de l’obligation fiduciaire, utilisation
frauduleuse d’informations confidentielles sur la clientèle, opérations boursières malhonnêtes pour le
compte de la banque, blanchiment d’argent et vente de produits non autorisés.
5. Dommages aux actifs corporels : par exemple, actes de terrorisme, vandalisme, séismes, incendies et
inondations.
6. Dysfonctionnement de l'activité et des systèmes : par exemple, pannes de matériel et de logiciel
informatiques, problèmes de télécommunications et pannes d’électricité.
7. Exécution, livraison et gestion des processus : par exemple, erreur d’enregistrement des données,
défaillances dans la gestion des sûretés, lacunes dans la documentation juridique, erreur d’accès aux
comptes de la clientèle et défaillances des fournisseurs ou conflits avec eux.

Enjeux des risques opérationnels[modifier | modifier le code]

Depuis le milieu de la dernière décennie, les connaissances en matière de risques de crédit et de risques de
marché ont alimenté un large débat et ont fait l'objet de très nombreux travaux de recherche. Normalement, ces
travaux auraient dû contribuer à des progrès significatifs dans l'identification, la mesure et la gestion des risques
au sein du système bancaire. Néanmoins, on ne peut éviter de s'interroger sur l'impact effectif de ces
contributions, au vu d'événements récents qui ont exercé une influence déterminante sur la crise financière de
2008: d'une part, la crise des subprimes, d'autre part, les pratiques des agences de notation financière dont
l'intervention est déterminante dans le processus de maîtrise des risques de crédit.

Cela étant, au cours de la même période, l'évolution des marchés financiers, caractérisée notamment par la
globalisation des activités bancaires et par leur dérégulation, a rendu ces activités - et donc les profils de risque
correspondants - de plus en plus complexes. Les régulateurs financiers se sont également rendu compte que les
risques devenaient de plus en plus difficiles à identifier du fait qu'ils étaient présents à tous les niveaux d'une
organisation, de plus en plus difficiles à mesurer de par la conjonction de pertes directes et de pertes indirectes
beaucoup plus délicates à quantifier, et de plus en plus difficiles à gérer de par l'organisation de plus en plus
transverse des métiers de la banque et de par les difficultés à bien maitriser les limites de leurs périmètres. C'est
en partie pour ces raisons que tant les régulateurs que les institutions bancaires ont mis en place des moyens pour
identifier, mesurer et contrôler les risques opérationnels : des événements comme ceux qui se sont produits à
New York en septembre 2001, ou encore la série de fraudes survenues dans des institutions bancaires (Société
Générale, Barings, pour ne citer que les plus médiatisées), démontrent bien que la gestion des risques bancaires
va bien au delà des domaines des risques de crédit ou des risques de marché, et nécessite la prise en compte des
risques opérationnels.

Contexte de la régulation des risques opérationnels propre au dispositif Bâle II[modifier | modifier le
code]

Pour la détermination des fonds propres réglementaires, qui constitue un des éléments clés de tout système de
régulation bancaire, le dispositif Bâle II établit de nouvelles règles qui prennent mieux en compte la réalité
économique, en affinant l'évaluation du profil de risque des institutions bancaires et en y intégrant des systèmes
de mitigation des risques. Cette nouvelle régulation permet aux banques qui répondent à certaines conditions de
réduire leurs exigences de fonds propres réglementaires, sous réserve d'être capables de démontrer une
organisation interne efficiente dans la gestion de leurs risques.

Pour affiner la gestion et la maîtrise des risques, le ratio McDonough, remplaçant le précédent ratio Cooke,
impose aux banques d'affecter une partie de leurs fonds propres à la couverture de leurs risques de crédit, de
leurs risques de marché et − nouveauté du ratio McDonough − de leurs risques opérationnels.
Pour évaluer l'exposition d'un établissement bancaire aux risques opérationnels, le Comité de Bâle propose trois
approches par ordre croissant de complexité et de sensibilité au risque,  :

 Une approche de base (Basic Indicator Approach BIA), consistant en un calcul forfaitaire (α = 15 %)
des exigences de capital réglementaire (KBIA), sur la base du produit net bancaire (PNB) moyen des
trois derniers exercices : KBIA = α * PNB
 Une approche standard (Standardised Approach STA), consistant, pour chaque ligne de métiers de la
banque, en un calcul forfaitaire (β = 12 % à 18 %, selon les huit lignes définies) des exigences de
capital réglementaire (KSTA), sur la base du PNB moyen enregistré sur ces lignes de métier au cours
des trois derniers exercices : KSTA = Σ (β¹-⁸ * PNB¹-⁸)
 Une approche avancée (Advanced Measurement Approach AMA), consistant en un calcul des
exigences de capital réglementaire (KAMA) s'appuyant sur le(s) modèle(s) interne(s) de mesure des
risques opérationnels développé(s) par la banque et validé(s) par l'autorité de contrôle.

Même si le calcul des exigences de capitaux réglementaires est relativement simple dans les deux premières
approches (approche de base et approche standard), le coefficient de pondération étant fixé par l'autorité de
contrôle, l'utilisation de l'approche standard ou à fortiori celle de l'approche avancée est soumise à une
acceptation de l'autorité de contrôle, elle-même conditionnée par le respect de certains critères d'éligibilité : «  …
Comme pour le risque de crédit, plus les outils de gestion sont performants, donc plus l'approche est
sophistiquée, moins grande sera l'exigence de fonds propres. Lorsque les conditions requises pour l'usage d'une
méthode sont réunies, la banque est encouragée à l'utiliser. Une banque internationale active, et les banques
ayant des risques opérationnels significatifs, sont supposées utiliser une approche plus sophistiquée que
l'approche de base. Une combinaison des trois méthodes [approche de base, approche standard et approche
avancée] est même possible en fonction des activités, sous certaines conditions.  »

L'une des nouveautés du dispositif Bâle II en matière de risques opérationnels est donc d'inciter les institutions
bancaires à améliorer la gestion de leurs risques opérationnels, cette dernière étant encadrée par des exigences
organisationnelles spécifiques à chacune des trois approches : plus l'organisation de la banque est complexe et
sophistiquée, à travers des systèmes et des pratiques plus sensibles aux risques, plus l'approche proposée par le
régulateur permet d'espérer une réduction du capital réglementaire.

Les bonnes pratiques en matière de risques opérationnels[modifier | modifier le code]

L’ensemble du dispositif Bâle II a été conçu pour inciter à évoluer progressivement vers la méthode avancée,
celle-ci étant en principe moins consommatrice en fonds propres réglementaires. Cette économie de fonds
propres trouve sa contrepartie dans la mise en œuvre d’une organisation spécifique visant à un meilleur contrôle
des risques opérationnels et, en définitive, à la réduction des pertes. C’est probablement la raison pour laquelle le
régulateur a lui-même défini un code de saines pratiques à utiliser par les banques et leurs superviseurs.

Les principes de bonnes pratiques[modifier | modifier le code]

Partant du principe fixé par le régulateur selon lequel un risque est correctement maîtrisé s’il est identifié,
mesuré, évalué et géré, les trois approches ont pour objet de quantifier le risque opérationnel avec une sensibilité
variable et donc, pour le couple superviseur / banquier, de contribuer à une meilleure surveillance prudentielle de
ce dernier. Parallèlement à ces outils de mesure, le régulateur a développé dix principes de bonnes pratiques
nécessaires à la maîtrise des risques opérationnels, rappelant par là l’importance tant de l’implication de l’organe
exécutif dans la mise en place d’un tel système, que de l’identification des risques opérationnels, notamment au
travers d’une cartographie de ces derniers.

Élaboration d’un environnement adéquat pour la gestion du risque [opérationnel][modifier | modifier le

code]

 Principe 1: Le conseil d’administration [de l’institution bancaire] devrait considérer les principaux
aspects du risque opérationnel de la banque comme une catégorie distincte de risque à gérer, et il
devrait approuver et réexaminer périodiquement le dispositif de gestion de ce risque. Ce dispositif
 devrait fournir une définition du risque opérationnel valable pour la banque tout entière et poser les
principes servant à identifier, évaluer, suivre et maîtriser/atténuer ce risque.
 Principe 2: Le conseil d’administration devrait garantir que le dispositif de gestion du risque
opérationnel de la banque est soumis à un audit interne efficace et complet, effectué par un personnel
fonctionnellement indépendant, doté d’une formation appropriée et compétent. La fonction d’audit
interne ne devrait pas être directement responsable de la gestion du risque opérationnel.
 Principe 3: La direction générale devrait avoir pour mission de mettre en œuvre le dispositif de gestion
du risque opérationnel approuvé par le conseil d’administration. Ce dispositif devrait être appliqué de
façon cohérente dans l’ensemble de l’organisation bancaire, et les membres du personnel, à tous les
niveaux, devraient bien comprendre leurs responsabilités dans la gestion du risque opérationnel. La
direction générale devrait aussi être chargée d’élaborer des politiques, processus et procédures de
gestion du risque opérationnel pour tous les produits, activités, processus et systèmes importants.

Gestion du risque : identification, évaluation, suivi et maîtrise/atténuation du risque [opérationnel][modifier

| modifier le code]

 Principe 4: – Les banques devraient identifier et évaluer le risque opérationnel inhérent à tous les
produits, activités, processus et systèmes importants. Elles devraient aussi, avant de lancer ou
d’exploiter des produits, activités, processus et systèmes nouveaux, soumettre à une procédure
adéquate d’évaluation le risque opérationnel qui leur est inhérent.
 Principe 5: – Les banques devraient mettre en œuvre un processus de suivi régulier des profils de
risque opérationnel et des expositions importantes à des pertes. Les informations utiles à une gestion
dynamique du risque opérationnel devraient être régulièrement communiquées à la direction générale
et au conseil d’administration.
 Principe 6 – Les banques devraient adopter des politiques, processus et procédures pour maîtriser
et/ou atténuer les sources importantes de risque opérationnel. Elles devraient réexaminer
périodiquement leurs stratégies de limitation et de maîtrise du risque et ajuster leur profil de risque
opérationnel en conséquence par l’utilisation de stratégies appropriées, compte tenu de leur appétit
pour le risque et de leur profil de risque globaux.
 Principe 7 – Les banques devraient mettre en place des plans de secours et de continuité
d’exploitation pour garantir un fonctionnement sans interruption et limiter les pertes en cas de
perturbation grave de l’activité.

Rôle des superviseurs[modifier | modifier le code]

 Principe 8 – Les autorités de contrôle bancaire devraient exiger que toutes les banques, quelle que soit
leur taille, aient mis en place un dispositif efficace pour identifier, évaluer, suivre et
maîtriser/atténuer les risques opérationnels importants, dans le cadre d’une approche globale de la
gestion du risque.
 Principe 9 – Les superviseurs devraient procéder régulièrement, de manière directe ou indirecte, à une
évaluation indépendante des politiques, procédures et pratiques des banques en matière de risque
opérationnel. Les superviseurs devraient veiller à ce qu’il existe des mécanismes appropriés leur
permettant de se tenir informés de l’évolution dans les banques.

Rôle de la communication financière[modifier | modifier le code]

 Principe 10 – La communication financière des banques devrait être suffisamment étoffée pour
permettre aux intervenants du marché d’évaluer leur méthodologie de gestion du risque opérationnel.

Les enjeux organisationnels de mise en œuvre des principes de bonnes pratiques[modifier | modifier le
code]

La mise en œuvre de la méthode de base ne requiert aucune exigence organisationnelle particulière. Si les
structures des deux autres approches (standard et AMA) sont assez différentes, en raison principalement de la
présence ou non d’une entité dédiée spécifiquement à la gestion des risques opérationnels, leurs modalités de
mise en œuvre devraient théoriquement être assez proches dans la mesure où, quelle que soit l’approche, ces
modalités s’appuient d’une part sur un modèle de processement, d’autre part sur des fonctionnalités relativement
standardisées pour l’ensemble des banques :
Le modèle de processement des risques opérationnels[modifier | modifier le code]

Le modèle de processement des risques opérationnels comporte quatre sous-processus clés nécessaires à
l’élaboration d’un système de gestion adéquat :

 l'identification du risque ;
 l'évaluation du risque ;
 le suivi du risque ;
 la maîtrise / atténuation du risque.

Identification[modifier | modifier le code]

L’identification des risques opérationnels requiert de la banque qu’elle définisse quels sont les facteurs
inhérents aux risques opérationnels et leurs dimensions multiples (codification, aspect interne / externe,
fréquence, appartenance, gravité, type de perte, activité(s) concernée(s), processus / fonctions concernées,
données et systèmes impliqués, etc.). La mise en œuvre de ce premier sous-processus d’identification, dans le
cadre du dispositif Bâle II, se heurte tout d’abord au problème d’une définition interne des risques opérationnels
qui soit cohérente et compatible avec celle retenue par le dispositif lui-même, et ensuite à celui de leur
identification : en effet, si les pertes opérationnelles, qui matérialisent l’occurrence des risques opérationnels,
étaient jusqu’à présent identifiées et contrôlées par les départements de contrôle interne ou d’audit interne, elles
deviennent dans le nouveau dispositif la responsabilité des responsables opérationnels dans tous les secteurs de
la banque. La mise en œuvre de ce premier sous-processus d’identification risque d’être influencée par le
contexte dans lequel fonctionne la banque (« principles based » versus « rules based »), d’autant que certains
vont jusqu’à identifier le risque opérationnel comme tout risque financier autre que risque de crédit ou risque de
marché. Deuxième difficulté : une perte étant intrinsèquement mesurée en faisant usage de règles comptables, en
raison de son impact sur la situation financière de la banque, l’application de ces règles comptables peut donner
lieu à des interprétations divergentes. Particulièrement difficile s’avère l’évaluation de certains impacts (perte de
marge brute, pertes de clientèle, par exemple).

Évaluation[modifier | modifier le code]

Jusqu’à présent, pour évaluer les montants des risques, les experts en matière de gestion des risques ont
principalement développé leur savoir-faire dans le domaine des risques de crédit et des risques de marché, en
mettant l’accent sur l’application de méthodes quantitatives et statistiques de modélisation et de simulation. Il
était donc naturel que ces mêmes experts, tant au sein des banques que chez les autorités de contrôle, aient eu
tendance à appliquer ces techniques éprouvées pour l’évaluation des risques opérationnels. Ainsi pourrait
s’expliquer en partie la présence dans l’approche AMA de critères comparables à ceux de l’approche IRB
utilisée pour les risques de crédit. Plus fondamentalement, l’application de méthodes statistiques de modélisation
pour l’évaluation des risques opérationnels a fait l’objet de sévères critiques, notamment dans le monde
académique. Ainsi a-t-on fait valoir que certaines caractéristiques des données des pertes opérationnelles
(distributions atypiques des montants de pertes extrêmes, événements de pertes irréguliers, fréquence et sévérité
des pertes non stationnaires, existence ou non de pertes répétitives) n’étaient pas cohérentes avec les postulats de
modélisation. À cette première objection s’ajouterait celle d’un manque certain de données, et surtout de données
cohérentes. Enfin nombreux sont ceux à souligner les difficultés à modéliser les événements à fréquence faible et
à fort impact : trois types de modèles sont préconisés dans le cadre de l’approche AMA (méthode Internal
Measurement Approach (IMA), méthode Loss Distribution Approach (LDA), méthode Scorecard) . Certains
considèrent que l’IMA a été conçue comme une version simplifiée, praticable et standardisée d’une approche
actuarielle de type LDA, plus complète et plus satisfaisante, mais plus compliquée à mettre en œuvre. Ce serait
sous la pression de certaines banques, notamment anglo-saxonnes, de l’IIF que la méthode Scorecard aurait été
intégrée au dispositif Bâle II. C’est en raison de ces critiques que se sont développées d’autres méthodes plus
dynamiques visant à gérer les risques opérationnels à travers un contrôle plus global des processus dans lesquels
ces risques sont potentiellement présents. Cela implique une simulation du fonctionnement de toute la chaîne des
processus, basée à la fois sur des scénarios réels et une réalité virtuelle, permettant théoriquement d’anticiper
tous les éléments relatifs à un processus spécifique, mais également toutes les implications et interrelations. Cette
méthode des scénarios est de plus en plus utilisée (¾ des banques sondées dans l’enquête PRMIA 2006 contre
50 % dans la même enquête 2005) : elle part du principe que les risques opérationnels associés à un processus ne
peuvent être évalués séparément de l’organisation dans laquelle ce processus fonctionne ; c’est dans l’interaction
d’un processus avec son environnement que se trouvent les éléments clés d’appréciation des risques
opérationnels. Pour bien identifier les corrélations entre les processus et les événements de pertes, la difficulté
est de bien isoler ces processus les uns des autres afin d’évaluer correctement leur part de contribution dans une
perte en particulier. Cela étant, cette méthode comporte encore des domaines d’incertitude, par exemple le choix
des hypothèses sous-jacentes aux scénarios majeurs (hypothèses de place), l’évaluation de certains scénarios
extrêmes (grippe aviaire, par exemple), ou encore les traitements concernant les assurances.

Suivi[modifier | modifier le code]

Le suivi des risques opérationnels au moyen d’indicateurs adéquats (indicateurs d’alerte, indicateurs de risque
avéré et indicateurs de pertes) est le troisième processus-clé d’un système de gestion de cette catégorie de
risques. À ce stade se pose le problème de la consolidation des indicateurs, que l’on peut aborder au moyen de
deux approches : bottom-up ou top-down. Dans l’approche bottom-up, les indicateurs clés des risques
opérationnels sont définis et mesurés aux niveaux inférieurs, là où l’appréciation individuelle des managers
exercera un levier maximum sur le suivi des risques opérationnels, pour être ensuite consolidés progressivement
jusqu’à un niveau central. Dans l’approche top-down, c’est en fonction de la vision stratégique globale, de la
rentabilité globale des opérations que l’allocation de capital réglementaire aux différentes activités sera décidée
par les organes exécutifs en fonction de leurs risques opérationnels. Dans ce contexte, les décisions prises aux
niveaux supérieurs de la hiérarchie seront répercutées et traduites en plans d’actions suivis et maîtrisés par les
managers au moyen d’indicateurs adéquats.

Maîtrise et atténuation[modifier | modifier le code]

La maîtrise et l’atténuation du risque constituent probablement le sous-processus le plus complexe de cet

ensemble, car de lui va dépendre la capacité de la banque à se doter de moyens de prévenir les risques en
identifiant les leviers d’action adéquats pour anticiper certains événements ou minimiser leur impact en cas de
survenance. Ce sous-processus est particulièrement complexe à gérer car il s’appuie simultanément sur deux
fonctions qui interagissent l’une sur l’autre :

 d’une part, la fonction qui conduit à fixer le niveau maximum de risque opérationnel accepté. Cela
suppose de fixer des limites, limites globales ou limites par type de risque opérationnel. Mais cela
requiert surtout une évaluation comparative de la rentabilité attendue en contrepartie des risques pris :
cette évaluation est souvent complexe à mettre en œuvre lorsqu’il s’agit de risques opérationnels à fort
impact potentiel ou de risques opérationnels difficiles à objectiver (risques humains, par exemple) et à
chiffrer car elle va dépendre de choix opérés dans la deuxième fonction en matière de couverture de ces
risques opérationnels.
 d’autre part, la fonction qui conduit à opérer un choix entre les différents modes de couverture (interne,
externe via l’assurance ou l'externalisation), et à le traduire en plans d’actions précisant les mesures
retenues, les responsabilités dans la mise en place et les délais de réalisation. C’est ainsi que les PCA
(plans de continuité des activités) devraient logiquement être intégrés dans ce sous-processus ; or, on
constate dans la pratique que peu de banques ont regroupé la gestion des risques opérationnels et celle
des PCA dans une même entité ; malgré cela, une coordination commence à se mettre en place entre ces
deux démarches

Des fonctionnalités relativement standardisées[modifier | modifier le code]

Les deux principales fonctionnalités applicatives à mettre en œuvre pour maitriser un système de gestion des
risques opérationnels sont d’une part la détermination du profil des risques opérationnels de la banque,
d’autre part la mise en place d’un dispositif de collecte d’événements de risque.

 La détermination du profil des risques opérationnels d’une banque correspond à l’identification, à

chaque niveau de son organisation, des processus supportant des risques opérationnels, à la formulation
de ces risques et à leur notation (probabilité d’occurrence et perte) : c’est la phase de cartographie des
risques opérationnels. Cette phase est une étape clé car elle va conduire à déterminer, avec plus ou
moins de sensibilité, quelle est la nature des incidents qui seront collectés et donc suivis par la suite.
C’est elle qui permettra également de définir une nomenclature des risques opérationnels valable pour
l’ensemble de l’organisation, cadre indispensable à une collecte efficace et homogène des incidents. La
cartographie des risques est donc la formalisation du travail d’identification des risques opérationnels.
Cet exercice intègre théoriquement les phases suivantes : décomposition en activités des processus
 supportant des risques opérationnels; pour chaque activité, recensement des risques associés;pour
chaque risque, évaluation des pertes et des probabilités d’occurrence; constitution d’une matrice des
risques sur les axes fréquence et importance des pertes; enfin, sélection, à partir de la matrice, des
risques significatifs (ceux que la banque décide de recueillir dans le dispositif de collecte).

 Pour légitimer l’emploi des méthodes standard ou avancées, la banque doit parallèlement s’être dotée au
préalable d’un dispositif de collecte des incidents accessible par toutes ses entités, et d’une base de
données dédiée pour stocker les incidents, et ce en vue de posséder un historique de pertes conforme
aux exigences du régulateur. Les procédures de contrôle et de validation des incidents notifiés dans la
base de données s’appuient en général sur des workflows, outils qui permettent aux managers de
visualiser l’origine des incidents, de contrôler la pertinence des informations remontées par la base et
d’être averti en temps réel des événements intervenus dans leur service, pour rapidement mettre en
place des actions correctives. Par ailleurs, des outils d’analyse (de type datamining) et de restitution
peuvent être mis en œuvre, afin de compléter la définition précise du profil de risques opérationnels de
la banque.

Cela étant, pour assurer la couverture de leurs risques opérationnels, les banques font habituellement appel à des
modèles d’allocation, les deux approches les plus utilisées étant l’approche bottom-up et l’approche top-down,
ou encore une combinaison des deux. Le principe de l’approche bottom-up est de calculer le besoin en capital
réglementaire au niveau le plus fin, par exemple au niveau d’une catégorie d’opérations, et de consolider ensuite
ces besoins à des niveaux de plus en plus centralisés jusqu’à l’ensemble de la ligne métier à laquelle seront
alloués les fonds propres correspondants. À l’inverse, le principe de l’approche top-down consiste à désagréger
une information mesurée sur la totalité des risques opérationnels de la banque et d’allouer ensuite ces fonds
propres à des niveaux de plus en plus décentralisés.

La complexité des problèmes de mise en œuvre[modifier | modifier le code]

Malgré la simplicité de ces deux enjeux (modèle de processement et fonctionnalités d’application), il s’avère
que, dans la pratique, la mise en œuvre des différentes approches a soulevé et soulève encore de nombreuses
divergences dont la complexité est progressivement apparue à l’occasion des nombreuses missions d’enquête
menées tant en France par la Commission Bancaire qu’à l’étranger par les autorités ou organismes compétents.

 Complexité liée à la nature même des risques opérationnels : contrairement aux autres catégories de
risques (risques de crédit, risques de marché), les risques opérationnels concernent de manière
transversale toutes les activités et tous les secteurs de la banque ; alors que les données disponibles pour
les autres catégories de risques sont relativement normées et communément acceptées, celles qui
concernent les risques opérationnels dépendent de chaque banque prise séparément. C’est
vraisemblablement pour cette raison que la cartographie des risques est très variable (nombre
d’événements de risque compris entre 100 et plus de 2000), chaque banque ayant sa propre vision quant
au juste équilibre entre granularité et pertinence des événements de risque considérés. Enfin la
substance même des risques opérationnels est extrêmement volatile puisque, idéalement, une grande
partie d’entre eux pourrait être réduite à néant dès lors même que leur identification devrait conduire à
en éliminer la cause.
 Complexité liée à la gouvernance du système : si l’implication des organes exécutifs des groupes
bancaires dans la mise en œuvre du dispositif de gestion du risque opérationnel au sein des métiers
semble active, par contre rares sont ceux qui disposent de documentation formelle, posant les principes
et les modalités de mise en œuvre de la politique en matière de risques opérationnels, telle qu’elle a été
arrêtée par ces organes exécutifs. Ces derniers semblent toutefois avoir bien compris la nécessité
d’appuyer la fonction de gestion des risques opérationnels sur des gestionnaires de risques présents au
sein même des différents métiers et fonctions, c’est-à-dire sur ceux qui sont proches des risques du
terrain et ont une connaissance approfondie des activités. C’est ainsi que la majorité des banques ayant
répondu à l’enquête PRMIA 2006 indiquent avoir mis en place un système de gestion des risques
opérationnels, couvrant essentiellement les bases de données incidents, la cartographie des risques, la
mise en œuvre de scénarios et le calcul d’indicateurs d’alerte.

Par ailleurs, l’allocation de fonds propres au titre des seuls risques opérationnels demeure rare. Les grands
groupes bancaires ayant opté majoritairement pour une approche AMA envisagent un calcul de fonds propres
pour l’ensemble du groupe bancaire et une allocation de ces derniers aux différentes entités selon une clé
d’allocation et un processus comme celui décrit ci-dessous. Rares sont les groupes qui envisagent de calculer des
exigences au niveau d’une ou de plusieurs de leurs filiales, bien que les principes édictés par le Comité de Bâle
relatifs à la reconnaissance transfrontière d’une approche AMA imposent un tel calcul pour les filiales
significatives d’un groupe.

 Complexité liée aux choix organisationnels. Selon une enquête réalisée en France, si la totalité des
banques interrogées, même de taille moyenne, ont adopté une fonction dédiée à la gestion des risques
opérationnels, il semble que deux types d’organisation prévalent actuellement : soit – et c’est le cas très
largement le plus fréquent – cette fonction, le plus souvent organisée de manière hiérarchique depuis les
lignes de métiers ou les implantations géographiques jusqu’à une position centrale, est intégrée à une
Direction des Risques, soit elle est couplée à une autre fonction (contrôle de gestion, audit interne, par
exemple). Dans l’un et l’autre cas, on observe des difficultés pratiques pour délimiter la frontière entre
l’audit interne de la qualité du dispositif de gestion des risques opérationnels et les fonctions de gestion
et de contrôle de ces mêmes risques.
 Complexité liée à l’exploitation des données : si l’on prend pour référence l’approche AMA qui invite
les banques à utiliser quatre types de données (donnés de pertes internes, données de pertes externes,
analyses de scénarios d’événements potentiels et analyses des facteurs d’environnement et de contrôle
interne), on constate que certaines banques ont développé un modèle essentiellement statistique de
calcul de fonds propres réglementaires, en s’appuyant sur des données de pertes internes et externes, et
en utilisant des modèles de type Valeur en Risque (VaR, avec horizon à un an et intervalle de confiance
de 99,9 %).

L’utilisation de données historiques internes relève en général d’une approche de type top-down, où les risques
opérationnels sont d’abord identifiés et mesurés sur une base consolidée à partir de leurs pertes potentielles, et où
les fonds propres sont ensuite alloués aux différentes lignes de métier. La sensibilisation croissante à cette
modélisation statistique des risques opérationnels s’est heurtée pendant un temps à l’insuffisance des historiques
de données internes et à des problèmes pratiques, en particulier relatifs au niveau à partir duquel toute perte doit
être collectée et à la façon dont celle-ci doit être capturée aux fins d’assurer une remontée correcte des données
recherchées (collecte automatique ou déclarative) et une distribution crédible des pertes. Cependant, des progrès
importants ont été réalisés dans ce domaine, notamment en raison de règles de collecte et de mesure qui
s’harmonisent progressivement entre banques, et aussi du fait que le recours à des données externes a été facilité
grâce à la maturité des bases consortiales (ORX devenant la référence). D’où une méfiance certaine à l’égard de
la seule utilisation de ces données historiques qui justifie le recours à des données externes.

L’utilisation de données externes soulève également des interrogations concernant la correction nécessaire de
biais statistiques et l’adaptation des données externes à la situation interne de la banque (problèmes de scaling).

D’autres banques construisent leur modèle de mesure en privilégiant davantage des données prospectives, de
type analyses de scénarios et/ou indicateurs de risque. Dans ce cas, l’approche se veut bottom-up, les risques
étant cartographiés au niveau de chaque ligne de métier à partir des causes, puis mesurés sur la base de
fréquences et de sévérités de pertes estimées par les experts de chaque métier et/ou d’indicateurs de performance,
de contrôle et de risque. Bien que les analyses de scénarios soient considérées comme un élément important de la
diffusion d’une culture du risque opérationnel, du fait qu’elles s’appuient sur l’expertise des gestionnaires au
sein des métiers, elles nécessitent en général de sérieuses précautions avant d’être totalement opérationnelles : en
effet, ces analyses doivent être suffisamment structurées et cohérentes pour que les quantifications subjectives
des risques opérationnels au niveau des métiers puissent alimenter correctement le modèle de calcul des fonds
propres au niveau consolidé. Aussi certaines banques réservent-elles ce type d’analyse aux seuls événements à
faible probabilité et à forte sinistralité.

D’autres banques utilisent ou s’orientent vers une méthode de scorecard (indicateurs de risque ou de
performance, fondés en partie sur l’utilisation de critères qualitatifs) permettant notamment d’effectuer des
allocations de fonds propres réglementaires entre lignes de métiers ou entre implantations géographiques en
fonction de leur capacité à maîtriser les risques opérationnels. Outre son aspect plus synthétique, cette méthode
apporte un double avantage : elle introduit d’abord une dimension prospective qui s’inscrit dans une gestion
active de prévention des risques opérationnels ; elle facilite ensuite le reporting aux organes exécutifs en
fournissant, au moyen de tableaux de bord des performances locales, un état de progrès par rapport à la stratégie
définie par ces organes pour assurer la maîtrise des risques opérationnels. En pratique, l’identification des
indicateurs de risque s’effectue à partir des risques identifiés lors de la cartographie et par rapport à des
indicateurs existants (indicateurs de qualité, de performance…). Sont ensuite sélectionnés des indicateurs clés de
risques (KRI) susceptibles de faciliter la prise de décision. Parmi les difficultés rencontrées dans la mise en place
de cette méthode figure notamment l’interprétation qu’il convient de donner aux indicateurs (par exemple ceux
liés aux ressources humaines), la définition de niveaux d’alertes cohérents avec la politique générale de gestion
des risques opérationnels ainsi que les modalités d’agrégation des indicateurs.

De l’avis du régulateur lui-même , les banques [ont la volonté] d’adopter une approche plus pragmatique en
termes de risque opérationnel en rééquilibrant le dispositif vers la gestion des risques plutôt que vers leur seule
mesure. L’utilisation de données prospectives suppose une prise en compte des changements intervenus ou à
venir dans la gestion des risques opérationnels et/ou dans les activités des établissements et donc une forte
implication des gestionnaires de risque au niveau des métiers. Mais si l’utilisation de facteurs qualitatifs de type
scorecards bénéficie d’une certaine expérience, notamment aux fins de l’allocation des fonds propres entre les
différentes entités d’un groupe, la traduction quantitative de ces facteurs demeure problématique et n’apparaît
pas véritablement stabilisée. Cette traduction quantitative est d’autant plus délicate lorsque les analyses de
scénarios et les appréciations à dire d’experts ne s’inscrivent pas dans une démarche bien structurée et
homogène au sein du groupe. Il est donc d’autant plus nécessaire que les établissements développent des
questionnaires précis adressés aux experts des métiers ainsi que des indicateurs de risque pertinents et
observables sur une base régulière, susceptibles de limiter le caractère subjectif voire parfois politique du
processus de quantification.

Enfin la mise en œuvre d’un dispositif efficace de mesure et de gestion du risque opérationnel, quelles que soient
les modalités d’analyse des données, requiert un système d’information adéquat. C’est là probablement un des
domaines où les banques ont encore d’importants progrès à accomplir, ce qui n’est probablement pas étranger au
fait que la direction des systèmes d’information n’est pas souvent représentée au sein des banques dans les
comités de gestion des risques opérationnels. L’adaptation des systèmes d’information aux exigences spécifiques
du processement des risques opérationnels a donc amené les banques à faire le choix entre le lancement d’un
projet entièrement nouveau ou à la réalisation d’extensions destinées à collecter les données nécessaires. Dans le
premier cas, il s’est agi de mettre en œuvre une procédure entièrement nouvelle de collecte systématique des
pertes et, à cet effet, de conduire des missions de sensibilisation à tous les échelons de la banque. Dans le second
cas, il s’est plutôt agi de reprendre et de retraiter au niveau des métiers des historiques de pertes existants.

Dans un environnement aussi complexe, il est clair que la définition du véritable profil de risque d’un grand
groupe bancaire et la mise en place d’une politique efficace de réduction des pertes opérationnelles dans chaque
entité relève d’un projet global, nécessitant un déploiement à grande échelle, et partant, une réelle gestion du
changement.

Les enjeux de conduite du changement associés à Bâle II concernent notamment la diffusion d’une nouvelle
culture de vigilance à propos des risques opérationnels, et la pérennisation de ce système.

Le premier enjeu consiste à diffuser une culture de vigilance à l’égard de ces risques dans chaque business unit
de la banque. À ce titre, on peut parler de véritable acculturation des collaborateurs présente dans toutes les
modalités de la mise en œuvre (cartographie des risques opérationnels, dispositif de collecte des incidents), le
principal attribut de cet enjeu étant l’implication de chaque collaborateur de la banque.

Le second enjeu est d’éviter que le système de gestion des risques opérationnels ne devienne figé, et donc de
faire en sorte qu’il puisse évoluer sous l’effet des actions correctives, des risques qui disparaissent, et des
nouveaux risques qui apparaissent.

Globalement, l’enjeu du processement régulatoire des risques opérationnels n’est pas d’obtenir une certification
du superviseur pour que la banque puisse utiliser telle ou telle approche proposée par le régulateur : il est de
favoriser une amélioration durable de la maîtrise des risques opérationnels par la banque, en responsabilisant
chacune des parties prenantes (régulateur, superviseur, collaborateur de la banque). C’est bien là où le dispositif
acquiert un degré supplémentaire de complexité puisqu’en définitive, la réussite de la mise en œuvre du
dispositif est tributaire non seulement des bonnes pratiques de la banque mais aussi de la flexibilité de la
surveillance prudentielle exercée par le superviseur et de l’adaptabilité introduite dans le dispositif par le
régulateur.

La surveillance prudentielle des superviseurs[modifier | modifier le code]

C’est principalement dans l’application de l’approche AMA que va s’exercer l’influence des superviseurs.
Pour ce qui concerne la France, la Commission Bancaire a opté pour une position « flexible » au cas par cas,
c'est-à-dire banque par banque. Pour cela, la Commission Bancaire prendra d’abord en compte la manière dont
chaque banque aura proportionné son approche AMA avec son profil de risques opérationnels. Cette autorité ne
privilégiera aucune méthode plutôt qu’une autre, se réservant seulement d’apprécier la pertinence d’ensemble
des méthodologies retenues par rapport au profil de risque. La Commission Bancaire se voudrait étrangère à
toute approche trop normative et figée, incompatible avec la dimension évolutive des techniques et
méthodologies développées par les banques dans le domaine des risques opérationnels. Pour ses démarches de
validation, la Commission Bancaire exprime d’abord un souci de cohérence avec la surveillance prudentielle
exercée par d’autres autorités de contrôle, en reprenant à son compte les principes de home-host supervision et
les principes d’une approche hybride entre filiales significatives et autres filiales, tels qu’ils sont proposés dans le
dispositif Bâle II. Elle précise ensuite les grandes lignes du contenu de sa démarche, en parfaite conformité avec
le contenu du dispositif :

 évaluation par la Commission Bancaire de l’organisation de la fonction de gestion des risques

opérationnels à l’intérieur de la banque.
 évaluation de l’intégration du système de la gestion des risques opérationnels dans la gestion au
quotidien des risques de la banque.
 évaluation de la robustesse du système d’information et de la méthodologie développée par la banque.
 enfin, l’évaluation de la gestion des risques à forte sinistralité fait l’objet d’un développement tout
particulier de la part de la Commission Bancaire.

Finalement, c’est plus par sa logique d’intervention que par sa flexibilité que la surveillance prudentielle va subir
un changement significatif : la vérification exhaustive des critères d’éligibilité, tant qualitatifs que quantitatifs, à
l’AMA, ne s’inscrit donc pas dans une simple logique d’appréciation de la conformité réglementaire d’un
modèle. Elle repose surtout sur une évaluation de la capacité des établissements à identifier, analyser, maîtriser
et réduire (tant la fréquence que la sévérité des pertes) leurs risques opérationnels.