Le risque opérationnel bancaire

Dispositif d'évaluation et système de pilotage

Éric Lamarque, Frantz Maurer
Dans Revue française de gestion 2009/1 (n° 191), pages 93 à 108
Éditions Lavoisier
ISSN 0338-4551
ISBN 9782746223585
© Lavoisier | Téléchargé le 19/03/2024 sur www.cairn.info (IP: 196.117.122.101)

© Lavoisier | Téléchargé le 19/03/2024 sur www.cairn.info (IP: 196.117.122.101)

Article disponible en ligne à l’adresse

https://www.cairn.info/revue-francaise-de-gestion-2009-1-page-93.htm

Découvrir le sommaire de ce numéro, suivre la revue par email, s’abonner...

Flashez ce QR Code pour accéder à la page de ce numéro sur Cairn.info.

Distribution électronique Cairn.info pour Lavoisier.

La reproduction ou représentation de cet article, notamment par photocopie, n'est autorisée que dans les limites des conditions générales d'utilisation du site ou, le
cas échéant, des conditions générales de la licence souscrite par votre établissement. Toute autre reproduction ou représentation, en tout ou partie, sous quelque
forme et de quelque manière que ce soit, est interdite sauf accord préalable et écrit de l'éditeur, en dehors des cas prévus par la législation en vigueur en France. Il est
précisé que son stockage dans une base de données est également interdit.
 DOSSIER
ÉRIC LAMARQUE
Université Montesquieu Bordeaux 4
FRANTZ MAURER
Université Montesquieu Bordeaux 4,
Bordeaux Management School

Le risque opérationnel
bancaire
Dispositif d’évaluation et système de pilotage
© Lavoisier | Téléchargé le 19/03/2024 sur www.cairn.info (IP: 196.117.122.101)

© Lavoisier | Téléchargé le 19/03/2024 sur www.cairn.info (IP: 196.117.122.101)

Le scandale de la Société Générale a dévoilé au grand public
les conséquences des risques liés à des dysfonctionnements
opérationnels. Avec la réforme de Bâle II, cette catégorie de
risques doit maintenant être prise en compte dans
l’évaluation des fonds propres des établissements financiers.
Leur évaluation quantitative est donc la première démarche
qui ait été entreprise. Cependant cette approche apparaît
comme insuffisante pour maîtriser ces risques et la gravité
des événements exceptionnels est extrêmement difficile à
évaluer. Il faut donc combiner ces approches quantitatives à
des démarches plus qualitatives relevant de la mise en place
d’un dispositif de contrôle interne efficace et plus
généralement d’une gouvernance générale du système de
contrôle garantissant une sécurisation optimale du
fonctionnement de la banque. Cet article, fondé sur plusieurs
analyses de cas, évalue les différents éléments de ce
dispositif.

DOI:10.3166/RFG.191.93-108 © 2009 Lavoisier, Paris

 94 Revue française de gestion – N° 191/2009
A
u-delà de la vision financière tradi-
tionnelle évoquant les risques de
marché ou le risque de crédit
comme facteur de défaillance principal des
banques. Les événements observés depuis
le début des années 2000 (affaire Enron,
Worldcom, Parmalat ou les attentats de sep-
tembre 2001) sont venus rappeler qu’une
autre source de pertes financières significa-
tives pouvait provenir du fonctionnement
opérationnel : fraudes, détournements,
condamnations, dysfonctionnements. La
définition officielle donnée par le comité de
Bâle indique qu’il s’agit des « risques de
pertes dues à l’inadéquation ou à la
défaillance de processus internes dues au
personnel ou aux systèmes ainsi que celles
dues aux événements extérieurs ». On peut
rajouter à cela le risque de réputation dont il
© Lavoisier | Téléchargé le 19/03/2024 sur www.cairn.info (IP: 196.117.122.101)
est quasiment impossible d’évaluer les
conséquences financières précisément mais
qui n’est pas considéré comme un risque
opérationnel. La théorie bancaire n’a pas
encore pris en compte cet aspect dans son
analyse sur la gestion des risques bancaires.
Pour cette théorie, des décisions purement
financières (comme la diversification du
portefeuille de crédits ou de titres ou
comme le transfert du risque vers l’assu-
reur) ou stratégiques (comme la diversifica-
tion du portefeuille d’activité) sont de
nature à limiter l’exposition aux risques.
Les fonds propres sont ensuite le dernier
rempart pour éviter la défaillance suite à
l’apparition de pertes exceptionnelles non
prévisibles (Olfield et Santomero, 1997).
Le cas des risques opérationnels montre
que cette approche est incomplète. En effet
l’évaluation des fonds propres nécessaires à
la couverture de ces risques n’est pas suffi-
sante et pose le problème du dimension-
nement de ces fonds propres. Les travaux
réalisés auprès des institutions financières
montrent la nécessité d’un dispositif com-
plet visant à maîtriser cette catégorie de
risque, non pas nouvelle, mais dont les
acteurs bancaires ont pris conscience de
leur impact sur les résultats et la pérennité.
Cet article a donc pour objectif de présenter
les dimensions clés d’un système de
contrôle des risques opérationnels. Plu-
sieurs études de cas permettent ici de pro-
poser une première évaluation des condi-
tions d’efficacité d’un tel dispositif. Il a
pour vocation à réduire les probabilités
d’occurrence d’incidents opérationnels et
ainsi alléger le besoin en fonds propres
imposé par la nouvelle norme de Bâle II.
De plus, élaborer un dispositif de contrôle
visant à minimiser les conséquences finan-
© Lavoisier | Téléchargé le 19/03/2024 sur www.cairn.info (IP: 196.117.122.101)
cières de ces risques est donc de nature à
améliorer la performance des établisse-
ments. La banque découvre ainsi d’une cer-
taine manière la nécessité de mettre en
place un dispositif de gestion de ses risques
« industriels » comme dans le nucléaire ou
l’industrie chimique, toutes proportions
gardées. Cependant, le système bancaire,
malgré ses difficultés actuelles, est assez
novateur dans ce domaine en comparaison
aux autres activités de services qui n’ont
pas réellement intégré cette dimension dans
leur cartographie des risques.
Après avoir présenté en détail les modalités
de l’évaluation quantitative de ces risques,
les facteurs clés de succès d’un système de
contrôle seront analysés en montrant les
priorités des établissements engagés dans la
mise en place de dispositifs de contrôle de
ce type de risques et en insistant sur les cri-
tères d’efficacité d’un système global de
contrôle.
 Le risque opérationnel bancaire 95

I – LE NIVEAU DE FONDS PROPRES nis par le comité de Bâle (voir tableau 1). La
NÉCESSAIRE À LA COUVERTURE matrice ainsi obtenue contient 56 cellules et,
DES RISQUES OPÉRATIONNELS pour chaque catégorie de perte ou événe-
ment de risque, il faut estimer la distribution
Les risques opérationnels sont évalués par la
de sévérité (le montant d’une perte) et la dis-
méthode LDA (Loss Distribution
tribution de la fréquence (le nombre d’oc-
Approach). Il s’agit d’une approche actua-
currences d’une perte)1.
rielle très ancienne largement utilisée en
L’étape suivante consiste à construire la dis-
assurance, qui permet de construire la distri-
tribution des pertes agrégées dues au risque
bution de probabilité des pertes opération-
opérationnel associée à chaque cellule. Le
nelles agrégées. Les données nécessaires au
capital réglementaire associé à chaque caté-
modèle sont fournies par un historique de
gorie de risque ou cellule est calculé en
pertes regroupées selon les huit lignes d’ac-
appliquant le concept de Value-at-Risk
tivité et les sept événements de risque défi-

Tableau 1 – Matrice des pertes distribuées selon la ligne d’activité et le type de risque*

Type de risque (j)

Pratiques en Clients, Dommages Dysfonction- Exécution,
Fraude Fraude matière d’emploi produits et aux nements de livraison et
© Lavoisier | Téléchargé le 19/03/2024 sur www.cairn.info (IP: 196.117.122.101)

© Lavoisier | Téléchargé le 19/03/2024 sur www.cairn.info (IP: 196.117.122.101)

interne externe et sécurité sur pratiques actifs l’activité et gestion des
le lieu de travail commerciales corporels des systèmes processus

Financement 0,04 0,04 0,19 0,19 0,04 0,02 0,47

des entreprises 0,85 0,01 0,03 0,74 0,14 0,01 0,57
Négociation 0,10 0,25 0,22 0,23 0,07 0,25 10,27
des ventes 0,87 0,58 0,32 1,21 0,48 0,19 8,10
Banque 2,87 38,86 5,01 4,47 0,56 0,35 11,55
de détail 4,03 10,82 3,61 3,16 1,14 0,19 5,61
Ligne d’activité (i)

Banque 0,19 3,68 0,17 0,60 0,11 0,09 1,96

commercial 0,34 4,20 0,33 2,09 18,19 0,20 9,23
Paiements 0,05 0,81 0,13 0,03 0,01 0,14 2,91
et règlements 0,31 0,29 0,18 0,01 0,16 0,05 1,39
Fonction 0,01 0,03 0,01 0,02 0,00 0,03 2,43
d’agents 0,01 0,06 0,01 0,01 0,00 0,01 1,98
Gestion 0,07 0,09 0,10 0,20 0,01 0,01 1,65
d’actifs 0,07 0,07 0,17 1,09 0,03 0,02 1,19
Courtage 0,15 0,04 2,14 1,35 0,02 0,11 4,06
de détail 0,98 0,02 0,86 2,56 8,79 0,02 1,45
* Pour chaque cellule de la matrice, la valeur du haut indique la fréquence et celle du bas la sévérité exprimée en %.

1. En juin 2002, le Risk Management Group (RMG) du comité de Bâle a collecté les données de perte liées au risque
opérationnel survenues au cours de l’année 2001 dans le secteur bancaire. Cette compilation des pertes opération-
nelles est connue sous l’acronyme LDCE (Operational Risk Loss Data Collection Exercise). Cette étude fut réali-
sée à partir d’un échantillon de 89 banques de stature internationale. Les données de perte opérationnelle ont ensuite
été classées par ligne d’activité (i) et type de risque (j). Les résultats du tableau 1 portent sur un total de 47 000 évé-
nements de risque opérationnel pour un montant total de pertes subies avoisinant 7 800 millions d’euros.
 96 Revue française de gestion – N° 191/2009
(VaR) au risque opérationnel. La VaR opé-
rationnelle ou OpVaR correspond alors à un
quantile de la distribution de la perte agré-
gée (figure 1). Le comité de Bâle précise
que la période de détention h (i.e., l’horizon
de calcul) est fixée à un an et que l’inter-
valle de confiance a est 99,9 %. Ensuite le
processus dévaluation comporte trois
phases.
1. Estimation de la distribution
de la fréquence de la perte
La distribution de la fréquence (le nombre de
pertes pour l’activité i dû au type de risque j)
est généralement estimée par une loi de
Poisson en raison de sa commodité (Frachot
et al., 2003 ; Mignola et Ugoccioni, 2005).
Elle est utilisée avec succès dans le domaine
de l’assurance pour modéliser des problèmes
© Lavoisier | Téléchargé le 19/03/2024 sur www.cairn.info (IP: 196.117.122.101)
similaires, et ne nécessite qu’un seul para-
mètre (la moyenne du nombre annuel de
pertes) pour être entièrement définie. En
Figure 1 – La VaR opérationnelle (OpVaR) à 99,9 %
outre, l’estimation de ce paramètre se fait
sans difficulté à l’aide d’une technique d’es-
timation statistique très populaire : la
méthode du maximum de vraisemblance
(Maximum Likelihood ou ML).
2. Estimation de la distribution
de sévérité de la perte
On suppose le plus souvent que la distribu-
tion de sévérité suit une loi lognormale de
paramètres µ et σ2, estimés par les méthodes
du maximum de vraisemblance ou des
moments généralisés (Generalized Method
of Moments ou GMM). L’estimation directe
de la distribution de sévérité du risque opé-
rationnel est souvent difficile, car les don-
nées utilisées sont souvent entachées de dif-
férentes sources de biais (Roncalli, 2004).
Ces biais surviennent lorsqu’on mélange
© Lavoisier | Téléchargé le 19/03/2024 sur www.cairn.info (IP: 196.117.122.101)
des données de même nature mais qui ont
été collectées de manière différente (biais de
collecte ou de reporting) où qu’on mélange

des données fondamentalement différentes
(biais d’échelle ou de scaling). Afin de pal-
lier la présence de données tronquées dans
l’estimation de la distribution de sévérité, le
comité de Bâle (2006, p. 153) précise que la
banque doit avoir fixé un seuil de 10 000
euros pour les données de pertes à collecter.
Il précise également que le système de
mesure du risque opérationnel d’une banque
doit utiliser des données externes perti-
nentes (données publiques et/ou agrégées)
sur l’ensemble du secteur bancaire.
3. Estimation de la distribution
de la perte agrégée
Une fois que les distributions de fréquence
et de perte sont calibrées, on peut calculer
la perte totale ou agrégée pour la ligne d’ac-
tivité i et le type de risque j entre les dates t
© Lavoisier | Téléchargé le 19/03/2024 sur www.cairn.info (IP: 196.117.122.101)
et t+h (h est fixé à un an par le comité). Elle
est définie par :
N(i,j)
L(i,j) = ^ Xn (i,j)
n=0
où Xn(i, j) est la variable aléatoire représen-
tant le montant d’une perte (sévérité) pour
l’activité i et le type de risque j, et N(i, j) est
la variable aléatoire de comptage (nombre
d’événements de perte pour l’activité i dû
au type de risque j) de fonction de probabi-
lité pi,j.
On suppose que le nombre d’événements
de perte (les occurrences) est aléatoire entre
les dates t et t+h, que les sévérités (le mon-
tant des pertes) sont indépendantes les unes
des autres, et qu’elles sont indépendantes
de la fréquence des pertes (Frachot et al.,
2. La convolution est une procédure mathématique qui permet de transformer les distributions de fréquence et de
sévérité en une troisième distribution (la distribution de la perte agrégée) en superposant les deux premières (voir
Feller, 1971, p. 143).
Le risque opérationnel bancaire 97
2004). La distribution de probabilité de
L(i, j), notée Gi,j (x), est la distribution com-
posée suivante :
∞
5 ^pi,j(n)Fn*
x.0
i,j (x)
Gi,j(x) = n=1
pi,j(0) x50
où Fi,j est la distribution de la sévérité des
pertes. L’astérisque indique la convolution
dans la fonction F, où Fn* indique n-fois la
convolution de F avec elle-même2. La dis-
tribution composée G(x) s’obtient alors par
simulation Monte Carlo (voir Klugman
et al., 2004, chapitre 17) ou en utilisant des
algorithmes numériques comme celui de
Panjer.
Une fois la distribution de la perte agrégée
estimée, il ne reste plus qu’à calculer la
© Lavoisier | Téléchargé le 19/03/2024 sur www.cairn.info (IP: 196.117.122.101)
charge en capital (Capital-at-Risk ou CaR)
pour la ligne de métier i et le type de risque
j, autrement dit le quantile à a = 99,9 % de
cette distribution. Si on respecte strictement
les recommandations du comité de Bâle
(2006, p. 151), la charge en capital devrait a
priori couvrir les seules pertes exception-
nelles (unexpected loss ou UL), puisque les
pertes moyennes (expected loss ou EL) sont
censées être couvertes par des provisions ou
imputées sur le résultat courant. Dans ce cas,
la charge en capital CaR est donnée par :
CaR = UL(i, j ; α)
Cependant, si la banque ne parvient pas à
démontrer au régulateur que les pertes
moyennes ont été couvertes, la charge en
capital doit couvrir la somme des pertes
 98 Revue française de gestion – N° 191/2009
exceptionnelles (UL) et moyennes (EL).
Dans ce cas, la mesure du risque opéra-
tionnel correspond bien à une valeur en
risque, autrement dit CaR et OpVaR sont
identiques :
CaR ≡ OpVaR(i, j ; α) = G–1
i,j (α)
= EL(i,j) + UL(i, j; α)
i,j (α) est le quantile à 99,9 % de la dis-
où G–1
tribution de la perte totale ou agrégée
Gi,j(x). La charge en capital (CaR) totale de
la banque s’obtient alors en agrégeant les
56 mesures individuelles de risque opéra-
tionnel associées aux 56 cellules de la
matrice des pertes (voir tableau 1), soit :
8 7
KLDA = CaR(α) = ^ ^ CaRij(α)
i=1 j=1
© Lavoisier | Téléchargé le 19/03/2024 sur www.cairn.info (IP: 196.117.122.101)
Ce mode de calcul des fonds propres régle-
mentaires au titre du risque opérationnel
repose sous l’hypothèse de corrélation par-
faite des pertes totales. Or, d’un point de
vue théorique, on peut très bien admettre
qu’elles ne sont pas parfaitement corrélées.
Faire la simple somme de toutes les charges
en capital est donc sûrement très conserva-
teur en termes de risque. Frachot et al.
(2004) présentent d’ailleurs des arguments
techniques en faveur d’un effet de diversifi-
cation significatif. Pour la banque, cet effet
est intéressant à prendre en compte car il
peut réduire de manière significative la
charge totale en capital. Le comité de Bâle
peut autoriser la banque à appliquer des
corrélations entre les estimations indivi-
duelles de risque opérationnel déterminées
en interne. Elle doit alors démontrer à son
autorité de contrôle que ses systèmes de
détermination des corrélations sont sains et
mis en œuvre avec intégrité. En d’autres
termes, il appartient à la banque de valider
ses hypothèses de corrélation.
II – LES PRIORITÉS EN MATIÈRE
DE GESTION DU RISQUE
OPÉRATIONNEL
La plupart des banques ont développé un
modèle de risque opérationnel ou ORF
(Operational Risk Framework) afin de res-
pecter les normes réglementaires. Un ORF
est destiné à remplir deux objectifs princi-
paux. D’une part, assurer la mise en place de
processus durables de suivi des risques opé-
rationnels pour satisfaire les exigences
externes en matière d’audit et de reporting
des pertes opérationnelles (e.g. Sarbanes-
Oxley 404). D’autre part, développer une
métrique d’évaluation du risque, développer
des cartographies de risque standards, et
© Lavoisier | Téléchargé le 19/03/2024 sur www.cairn.info (IP: 196.117.122.101)
mettre en œuvre une base de données
exhaustive, sorte d’inventaire du risque opé-
rationnel ou ORI (Operational Risk Inven-
tory) qui recense et trace les facteurs de
risque, les incidents et les traitements asso-
ciés, et plus globalement la surface d’exposi-
tion de la banque au risque opérationnel. Un
ORF n’a de sens qu’à la condition d’assurer
un certain degré de résilience opérationnelle.
Comme le montre la figure 2, la structure
d’un ORF repose sur cinq principes fonda-
mentaux qui doivent être activés au sein de
la banque :
– la responsabilisation des différents
niveaux de management ;
– l’indépendance de la fonction en charge
du contrôle du risque ;
– communiquer sur le risque ;
– sécuriser le Produit net bancaire ;
– préserver la réputation et l’image de la
banque.
 Le risque opérationnel bancaire 99

Figure 2 – Les cinq piliers de la résilience opérationnelle

Résilience opérationnelle

Communication interne/externe
Responsabiliser les différents

Indépendance de la fonction

sur le risque opérationnel

Réputation de la banque
niveaux de management

Produit Net Bancaire

Contrôle du risque
© Lavoisier | Téléchargé le 19/03/2024 sur www.cairn.info (IP: 196.117.122.101)

© Lavoisier | Téléchargé le 19/03/2024 sur www.cairn.info (IP: 196.117.122.101)

Renforcer Garantir Développer Sécuriser Préserver

Un modèle de résilience opérationnelle est ORF sont dédiées à l’évaluation et surtout

un ensemble de techniques et de moyens au contrôle du risque. Le rôle d’un ORF est
dont l’objectif est d’accroître la capacité clairement de mobiliser l’organisation
d’une banque à faire face à des événements autour du risque opérationnel via des
extrêmes. équipes centralisées ou la participation à
De ces principes découle une redéfinition et divers comités d’évaluation. La fonction
un nouveau partage des tâches et responsa- risque opérationnel doit par conséquent
bilités dans la banque. La gestion du risque encastrer l’ORF dans les structures de gou-
opérationnel est désormais enchâssée dans vernance de la banque, son système de
l’activité même de la banque, alors que la reporting et l’ensemble de ses processus. La
partie contrôle du risque demeure une fonc- figure 3 illustre comment s’articulent les six
tion indépendante responsable de l’intégrité étapes ou composantes clés d’un ORF :
des décisions risque-rentabilité3. Dans cette – Lignes de conduite, normes et direc-
configuration, toutes les fonctions d’un tives. Un ORF requiert une documentation

3. La crise grave qui secoue actuellement la sphère financière mondiale trouve probablement en partie son origine
dans une recherche de rentabilité déconnectée du risque encouru.
 100 Revue française de gestion – N° 191/2009
Figure 3 – Les six étapes clés de la gestion du risque opérationnel
© Lavoisier | Téléchargé le 19/03/2024 sur www.cairn.info (IP: 196.117.122.101)
de contrôle détaillée et complète, permet-
tant de vérifier que les processus de la
banque fonctionnent correctement et effica-
cement. Cette documentation doit donc
inclure des procédures standards de
contrôle, des indicateurs, etc.
– Recueil des données. Pour renseigner
l’ORF, les responsables des différents
domaines d’activité et la fonction risque
opérationnel doivent recenser et rassembler
un volume de données considérable à partir
de sources diverses : les révélateurs de
risque. Il peut s’agir de processus d’auto-
certification, d’événements financiers,
d’événements non financiers et externes, de
métriques, de rapports d’audit, et d’évalua-
tions top-down ou réalisées par des spécia-
listes.
– Identification et analyse des facteurs de
risque. À partir des données de risque, les
© Lavoisier | Téléchargé le 19/03/2024 sur www.cairn.info (IP: 196.117.122.101)
facteurs de risque sont identifiés et leur
impact potentiel évalué. En fonction de leur
fréquence d’occurrence et de la sévérité de
la perte associée, un rating rouge, orange ou
vert leur est attribué. Bien entendu, l’éva-
luation de ces risques sert également à
déterminer le capital économique de la
banque.
– Réponse. Basée sur l’évaluation précé-
dente, une réponse appropriée à la situation
de risque est élaborée (e.g. éviter,
assurer/transférer, gérer, accepter), et un
plan d’action est activé en fonction.
– Reporting. Tout ce qui relève du risque
opérationnel est ensuite remonté aux divers
comités pour évaluation.
– Inventaire de risque opérationnel
(ORI). La totalité des données précédentes
ayant fait l’objet du reporting est stockée
dans la base de données ORI. Il ne s’agit

pas de simplement sauvegarder les impacts
potentiels des facteurs de risque qui ont pu
être identifiés, mais aussi et surtout de défi-
nir des actions correctrices spécifiques. Ces
informations seront ensuite utilisées pour
mettre en place des mécanismes de
contrôle.
– Contrôle. Le contrôle du risque opéra-
tionnel ou ORC (Operational Risk Control)
est responsable de l’efficacité du modèle de
risque opérationnel (ORF). Cette fonction
indépendante est au cœur du dispositif de
risque de la banque (voir figure 3). Il s’agit
en effet de s’assurer que les processus de
gestion du risque opérationnel sont correc-
tement activés par le management des
lignes d’activité/métiers. L’ORC doit égale-
ment vérifier la mise en action effective de
l’ORF au niveau de ces lignes/métiers et
© Lavoisier | Téléchargé le 19/03/2024 sur www.cairn.info (IP: 196.117.122.101)
l’intégrité du processus de recueil des don-
nées de risque.
Dans beaucoup de banques, ces modèles de
risque opérationnels ORF ont permis de
répondre aux exigences réglementaires
externes telles que Bâle II et Sarbannes-
Oxley. Les banques ont pu mesurer, suivre
et gérer au plus près leur capital écono-
mique. Elles ont aussi démontré (à quelques
exceptions notables près quand même)
qu’elles étaient capables de mettre en
œuvre des pratiques robustes et saines de
gestion et de contrôle du risque opération-
nel, même si celles-ci revêtent un caractère
légal obligatoire. Enfin, elles sont parve-
nues à cristalliser l’action managériale sur
la définition et la mise en place de contrôles
internes adéquats du reporting financier
global. Cependant, dans l’environnement
actuel, être conforme ou synchrone avec les
exigences du régulateur (ce que les Anglo-
Saxons appellent la « compliance ») ne suf-
fit plus. Les modèles de risque opérationnel
Le risque opérationnel bancaire 101
ORF ont en effet montré leurs limites à plu-
sieurs niveaux :
– Anticiper et détecter au plus tôt des
comportements ou des situations anor-
males. Les indicateurs (ou « révélateurs »)
de risque mais aussi les mesures propre-
ment dites actuellement en vigueur sont
résolument tournées vers le passé de la
banque, autrement dit son historique de
risque. De fait, elles sont d’une utilité très
discutable à des fins de détection. Les
banques doivent être en capacité de relier
différents types d’information et de
connaissance afin de transformer des
signaux faibles en signaux forts. Or, la frag-
mentation des départements dédiés au
risque, qui plus est organisés en silos fonc-
tionnels, empêche toute amélioration signi-
ficative de la gestion du risque au sein de la
© Lavoisier | Téléchargé le 19/03/2024 sur www.cairn.info (IP: 196.117.122.101)
banque.
– Développer une approche intégrée du
contrôle du risque et identifier les points
de vulnérabilité. La structure de contrôle
du risque dans les banques ressemble sou-
vent à un patchwork d’exigences réglemen-
taires diverses, et peut par conséquent se
révéler incohérente et incomplète. Intégrer
les différents processus/outils de contrôle
faciliterait la détection de comportements
suspects et permettrait de renoncer à un
pseudo sentiment de sécurité et de protec-
tion, au profit d’une vision objective de la
capacité réelle de la banque à détecter et
gérer le risque.
– Insuffler une culture du risque. Cer-
taines banques compensent les déficiences
de leur structure de contrôle en essayant
d’instaurer une culture d’alerte en matière
de risque. Dans la plupart des cas, cepen-
dant, une démarche orientée exclusivement
sur les résultats attendus est inappropriée,
tout simplement parce qu’elle excède très
 102 Revue française de gestion – N° 191/2009
largement les capacités effectives de suivi
et contrôle du risque de la banque. Il est
donc nécessaire que les banques parvien-
nent à instituer des pratiques de gestion du
risque qui ne se résument pas à la simple
application de méthodes et processus
rigides et normalisés. Ces nouvelles pra-
tiques doivent véritablement s’encastrer
dans la culture de la banque.
– Expliciter les responsabilités tout au
long du processus de contrôle. Les régula-
teurs et les auditeurs ont poussé les banques
à ériger de multiples lignes de défense afin
de mieux contrôler le risque. Malheureuse-
ment, l’adoption de ce modèle s’est traduite
par une chaîne de responsabilité inopérante.
– Initier des changements organisation-
nels. Les banques ont tendance à se focali-
ser sur les symptômes superficiels du risque
© Lavoisier | Téléchargé le 19/03/2024 sur www.cairn.info (IP: 196.117.122.101)
opérationnel, au lieu d’identifier et tra-
vailler sur les causes profondes de celui-ci.
Réduire sensiblement le risque opérationnel
d’une banque impose d’intervenir en pro-
fondeur à différents niveaux. Il peut s’agir
par exemple de l’amélioration des proces-
sus (de mesure, de contrôle, etc.) ou des
infrastructures (inventaire et stockage des
données, chaîne de responsabilité, etc.).
Afin d’améliorer ce dispositif et de contri-
buer à prendre en compte les éléments qui
viennent d’être évoqués, il est aujourd’hui
nécessaire de travailler sur un système glo-
bal de contrôle.
III – LES CRITÈRES
FONDAMENTAUX D’EFFICACITÉ
D’UN SYSTÈME DE CONTRÔLE
INTERNE BANCAIRE
Les établissements financiers sont dans
l’obligation, depuis une dizaine d’années,
de concevoir un dispositif de contrôle
interne précis. Le règlement du Comité de
la réglementation bancaire et financière
CRBF 07-02 décrit avec précision les
modalités de ce dispositif qui va au-delà de
l’entreprise bancaire et implique différentes
catégories d’acteurs internes et externes :
direction générale, comités d’audit, audi-
teurs externes, régulateur, etc.
La philosophie du CRBF 97-02 ainsi que
celle du pilier 2 de Bâle II est beaucoup
plus organisationnelle et tournée vers la
prise en compte des risques opérationnels et
constitue une approche plus qualitative de
la gestion de cette catégorie de risques. Un
grand nombre de banques considèrent que
ces derniers sont, pour l’essentiel, issus de
la défaillance des contrôles internes ainsi
qu’au non respect des procédures (comme
dans le cas de la Société Générale). La per-
© Lavoisier | Téléchargé le 19/03/2024 sur www.cairn.info (IP: 196.117.122.101)
formance opérationnelle et financière de
ces institutions est donc largement dépen-
dante de l’efficacité du dispositif de cou-
verture des risques opérationnels (Jimenez
et Merlier, 2004).
1. L’efficacité des acteurs du dispositif
de contrôle interne
L’efficacité du système de contrôle suppose
d’abord l’efficacité des acteurs participants
à ce dispositif. On peut distinguer deux
grandes catégories d’acteurs : les collabora-
teurs de l’entreprise sous la responsabilité
de la direction générale qui doit proposer
une organisation respectant les grands prin-
cipes de cette fonction ; les acteurs externes
à l’entreprise exerçant pour la plupart une
mission réglementaire de surveillance des
établissements financiers.
– Les acteurs internes du contrôle interne.
– Le service contrôle interne : il est rattaché
directement à la direction générale et son
indépendance est une nécessité. Son rôle est

d’aider l’ensemble des services de la
banque à mener à bien la démarche. Il est
une sorte de consultant interne chargé de
vérifier la faisabilité et l’efficacité des
contrôles mis en œuvre. L’erreur commise
par beaucoup d’établissements est de lui
donner un rôle répressif alors qu’il doit
avoir avant tout un rôle de conseil et être
une force de proposition vis-à-vis des ser-
vices et de la direction générale.
– Les collaborateurs de la banque : chaque
collaborateur a, dans ses missions, une acti-
vité de contrôle. En effet le premier niveau
de contrôle est réalisé par ceux effectuant
les opérations et par leur hiérarchie au sein
d’un service. Le personnel doit donc être
sensibilisé à cette tâche pour ne pas la réa-
liser de façon désinvolte ou en considérant
qu’elle n’est pas source de risques graves.
© Lavoisier | Téléchargé le 19/03/2024 sur www.cairn.info (IP: 196.117.122.101)
Les collaborateurs des services supports du
siège sont eux aussi en charge de contrôle
dit de second niveau. Ils permettent de cor-
riger les anomalies que les premiers
contrôles ont laissé passer.
– L’audit interne : aussi appelé l’inspection,
son rôle est vraiment d’effectuer « le
contrôle des contrôles » dans une logique
coercitive. Il est également dépendant
directement de la direction générale et réa-
lise des interventions, programmées ou
non, au sein de l’ensemble des services. Il
est primordial que ce service soit bien dis-
tinct de celui de contrôle interne et que les
personnes réalisant les missions d’audit
soient différentes de celles assurant des
missions de contrôle interne afin d’éviter la
confusion auprès des collaborateurs. L’ob-
jectif est donc de mesurer et de contrôler
l’application des plans de contrôle interne
au sein de l’établissement.
– Les acteurs externes du contrôle interne
Le risque opérationnel bancaire 103
– Le régulateur : derrière ce terme générique
plusieurs organismes sont en mesure de réa-
liser des missions de vérification relatives au
fonctionnement du système de contrôle. Au
premier rang on retrouve la commission
bancaire qui est l’organisme chargé de véri-
fier le respect des règlements bancaires et
notamment celui relatif au contrôle interne.
L’autorité des marchés financiers possède
aussi cette faculté car la plupart des établis-
sements sont aujourd’hui cotés et sont donc
soumis à ce type de contrôle. La Banque de
France enfin qui garde quelques préroga-
tives aussi en la matière. Plus généralement,
la régulation du système bancaire repose sur
des organismes de normalisation comme le
comité de Bâle qui a proposé à la fois des
normes prudentielles quantitatives relatives
aux fonds propres mais également des élé-
© Lavoisier | Téléchargé le 19/03/2024 sur www.cairn.info (IP: 196.117.122.101)
ments plus qualitatifs comme le renforce-
ment et la généralisation du dispositif de
contrôle interne. Par ailleurs des organismes
comme l’IAS ou des réglementations
comme la loi Sarbanne-Oxley imposent
aujourd’hui un dispositif d’information pré-
cis sur ce sujet à toute société cotée. Le pro-
blème pour les grandes entreprises interna-
tionales est de combiner ces différents
référentiels, parfois contradictoires malgré
certains points communs.
– L’audit externe : il est réalisé par les
grands cabinets spécialisés qui se partagent
le travail sur un établissement (deux audi-
teurs sont nécessaires). Dans le cas des
banques ces cabinets développent une
méthodologie spécifique, d’abord en raison
de l’information financière particulière pro-
duite (Lamarque, 2008) mais également en
raison de leur rôle d’intermédiation ou de
l’importance des opérations de marché
qu’elles réalisent. Parmi les sujets clés de
 104 Revue française de gestion – N° 191/2009
ces audits on peut citer l’analyse de l’envi-
ronnement pour repérer les éléments pou-
vant affecter l’activité tels que les évolu-
tions de la réglementation, de la
démographie, de la croissance économique
mais également évaluer les changements
dans les comportements de la clientèle et de
l’ensemble des parties prenantes.
La culture risque a été évoquée précédem-
ment. L’auditeur externe doit évaluer la pré-
gnance de cette préoccupation au sein des
équipes dirigeantes ainsi qu’à tous les
niveaux de l’organisation. Il se fonde prin-
cipalement pour cela sur des informations
écrites relatant le plan de développement
commercial, la stratégie et les principales
orientations retenues par la banque. À par-
tir de ces documents l’auditeur se fera une
idée de l’exposition au risque. Le reporting
© Lavoisier | Téléchargé le 19/03/2024 sur www.cairn.info (IP: 196.117.122.101)
et les outils du contrôle de gestion sont
d’une grande importance à ce niveau car ils
illustrent en général assez bien l’intensité
de cette préoccupation au sein d’un établis-
sement. L’auditeur va alors évaluer la capa-
cité qu’il a à suivre les risques au regard de
ces documents.
L’appréciation et l’analyse de chaque
risque : le principe fondamental est celui de
l’exhaustivité comme cela a déjà été évo-
qué. En trois ou quatre ans l’ensemble des
départements et des services doivent avoir
été audités et tout manquement en la
matière est réellement porteur d’accusation
de laxisme et d’un risque de réputation.
L’auditeur doit se livrer à un travail de com-
préhension du dispositif de gestion des
risques de l’établissement et n’a pas pour
rôle d’imposer une méthode prédéfinie. Ce
travail consiste à regarder si les mesures
prises par la banque en vue de les minimi-
ser sont efficaces et adéquates.
Seule une telle analyse permet de s’assurer
que les risques sont bien identifiés et correc-
tement reflétés dans les comptes annuels. À
ces trois axes s’ajoutent une analyse du res-
pect des conditions d’autorisation données
aux cadres de la banque et plus générale-
ment des règles de comportement.
– Les agences de notation : elles sont pour
mission d’évaluer le niveau de risque d’un
établissement grâce aux notes qu’elles leur
attribuent. Fortement mise en cause au
moment de la crise des « subprimes » pour
leur vision erronée des risques, elles font
l’objet de suspicions quant à leur indépen-
dance. Cette situation les conduit aujour-
d’hui à redéfinir certains paramètres pour
évaluer l’exposition aux risques en particu-
lier sur les marchés financiers.
Standard & Poor’s notamment vient d’annon-
© Lavoisier | Téléchargé le 19/03/2024 sur www.cairn.info (IP: 196.117.122.101)
cer se doter d’un ratio de solvabilité propre le
RAC ou « Risk Adjusted Capital » considé-
rant ainsi comme insuffisants les change-
ments prudentiels imposées par Bâle 2. C’est
la première fois qu’une agence va plus loin
que les recommandations des autorités de
régulation. Ce système, sur le fond, n’est
cependant pas nouveau, le Risk Adjusted
Return On Capital relevait de cette logique
(Godowski, 2008). Standard & Poor’s fait un
constat simple et identique à celui de beau-
coup de professionnels. Le nouveau disposi-
tif Bâle II est appliqué de façon assez dispa-
rate aujourd’hui. Des banques retiennent
finalement la méthode « standard » proche de
Bâle I, d’autres ont vu leur méthodes « avan-
cées » validée par les autorités de contrôle,
d’autres encore ne sont toujours pas passés à
Bâle II. Les écarts d’évaluation sont donc
importants. Entre une perte estimée à 10 %
de son portefeuille de crédit hypothécaire et
une perte estimée, par une autre méthode, à

15 %, le besoin en fonds propres s’accroît de
50 %. L’estimation avancée par Standard &
Poor’s conduirait à multiplier par trois les
besoins en fonds propres réglementaires sur
le risque de marché par exemple4. Par
ailleurs Bâle II n’est pas entré en vigueur aux
États-Unis et plusieurs experts évaluent à dix
ans le temps nécessaire pour avoir un dispo-
sitif assez homogène.
– Le comité d’audit : au sein du conseil
d’administration son rôle est également de
contrôler l’exposition aux risques et la
conformité des décisions opérationnelles
d’un établissement. Comme on le verra plus
loin il est le garant de l’application de la
politique des risques décidée par la banque
et il doit disposer d’un droit d’alerte vis-à-
vis de l’actionnariat.
Au regard de cette multiplicité d’acteurs
© Lavoisier | Téléchargé le 19/03/2024 sur www.cairn.info (IP: 196.117.122.101)
internes et externes un double sentiment
habite les observateurs. D’une part, la régu-
lation que l’on a présentée comme globale-
ment absente au sein du système bancaire
est en réalité très forte et suppose une adap-
tation des établissements. Il semble difficile
de penser que tous les acteurs se trompent
en même temps ou manquent de vigilance.
D’autre part, on ressent que l’efficacité de
ces dispositifs suppose un niveau de coordi-
nation suffisant afin de n’oublier aucune
dimension de l’activité bancaire. Ce niveau
de coordination doit être assuré par une gou-
vernance efficace du système de contrôle.
2. La gouvernance du système
de contrôle interne
La gouvernance se donne comme objectif
principal l’explication de la performance
4. Réflexion citée dans Les Échos, 16 avril 2008.
5. Organisme international qui promeut des normes communes de contrôle interne.
Le risque opérationnel bancaire 105
organisationnelle en fonction des systèmes
qui encadrent et contraignent les décisions
des dirigeants (Charreaux, 1999). Le
contrôle est un de ces systèmes et il est par-
ticulièrement présent dans les organisations
bancaires. Les recherches réalisées dans les
établissements montrent une implication
croissante et réelle nécessaire des structures
de gouvernance non seulement à travers le
rôle joué par les comités d’audit mais éga-
lement le comportement de l’ensemble du
conseil d’administration ou encore à travers
le mode de management insufflé par la
direction générale.
Le comité d’audit et l’ensemble du conseil
d’administration voient aujourd’hui leur
rôle évoluer. En premier lieu le COSO
« Comitee of Sponsoring Organisations »5
vient d’ajouter une nouvelle notion « Risk
© Lavoisier | Téléchargé le 19/03/2024 sur www.cairn.info (IP: 196.117.122.101)
appetite » dans son dispositif. Il s’agit du
niveau de risque accepté par l’entreprise
dans le but d’accroître sa valeur. Une fois
ce niveau fixé et décidé par le conseil
d’administration, les dirigeants pourront
évaluer les degrés de tolérance au risque
aux différents niveaux de l’organisation.
Selon les recommandations même du
COSO la définition du Risk appetite doit
précéder l’élaboration de la stratégie de
l’entreprise. Une politique de risque pré-
cise doit donc être établie en préalable à
toute décision stratégique et être validée
par le conseil d’administration. Le comité
d’audit n’assure donc pas simplement une
mission de vérification de l’application de
cette politique de risque. Il est une force de
proposition du contenu de cette politique
avec l’appui d’un comité des risques,
 106 Revue française de gestion – N° 191/2009
généralement présent au sein des conseils
d’administration de banques.
Comme l’indique le rapport du COSO II,
les structures de gouvernance doivent être
capables d’assurer une synthèse entre les
informations en provenance des acteurs
internes comme de celles provenant des
acteurs externes avec comme objectif prin-
cipal une supervision de la gestion des
risques sur quelques domaines précis6 :
– connaître le périmètre de couverture effi-
cace de gestion des risques mis en place par
le management de l’organisation ;
– connaître et être en accord avec le risk
appetite de l’organisation ;
– revoir le portefeuille de risques et effec-
tuer un rapprochement avec le risk
appetite ;
– être informé des risques les plus signifi-
© Lavoisier | Téléchargé le 19/03/2024 sur www.cairn.info (IP: 196.117.122.101)
catifs et de la pertinence de la prise en
charge de ces risques.
Un ultime sujet sur lequel le conseil d’admi-
nistration doit assurer une surveillance se
situe au niveau des dispositifs de rémunéra-
tion à destination des dirigeants. La question
du système d’incitation est fondamentale
dans la recherche de l’efficacité écono-
mique mais également de l’efficacité des
contrôles. En effet, selon Brickley et al.
(2000), les comportements déviants sont
exclusivement individuels et de nature non
éthique en général. Ils prennent leur source
dans l’inexistence des systèmes incitatifs ou
dans l’inefficacité de ces systèmes tout
autant que dans l’opacité des structures
organisationnelles. Les incitations peuvent
être contre-productives et inductrices de
coûts si elles ne sont pas clairement définies
et adaptée à la structure de l’organisation.
Pour contrer et anticiper l’occurrence de ces
6. Rapport COSO II
comportements il est donc nécessaire de
mettre sur pied des systèmes qui sont de
nature à influencer positivement le compor-
tement des décideurs.
Au niveau des instances exécutives de la
gouvernance, la direction générale reste l’in-
ducteur décisif de l’application de la poli-
tique risque de l’établissement. Pour cela
elle s’appuie sur un dispositif interne et
externe visant à sécuriser le fonctionnement
de l’entreprise. Son rôle et son influence
managériale sont décisive pour créer un
environnement favorable qui doit influencer
positivement l’ensemble du système
(Siguret et al., 2006). Cette idée d’« envi-
ronnement favorable » suppose la mise en
place de structures organisationnelles claires
où les responsabilités sont bien définies et
les droits de décision sont alloués à ceux en
© Lavoisier | Téléchargé le 19/03/2024 sur www.cairn.info (IP: 196.117.122.101)
charge d’exercer des missions de contrôle.
La fonction d’audit interne aide la direction
générale et le conseil d’administration avec
son comité d’audit, à assumer effectivement
et efficacement leurs responsabilités en
matière de dispositif de contrôle. Un
compte rendu semestriel d’activité et les
résultats du contrôle interne sont présentés
à l’organe délibérant ainsi qu’un rapport
annuel des éléments essentiels et des ensei-
gnements principaux des mesures de
risques, notamment de répartition des enga-
gements par zones de vulnérabilité. Les
audits externes des commissaires aux
comptes complètent ce dispositif. Ils colla-
borent notamment avec l’audit interne pour
optimiser la couverture des activités à audi-
ter. Ils sont destinataires du rapport de syn-
thèse décrivant les conditions dans les-
quelles le contrôle interne est assuré sur
l’ensemble du groupe, et le rapport de syn-
 Le risque opérationnel bancaire 107

thèse sur la mesure et la surveillance des
risques auxquels les établissements de cré-
dits sont exposés.
Enfin, comme pour le conseil d’administra-
tion, la direction générale doit être vigilante
sur les dispositifs d’incitation que celle-ci
met en place et qui sont généralement fon-
dés, dans les activités de trading notam-
ment, sur la performance financière des
acteurs.
Un tel raisonnement peut s’étendre au dis-
positif de contrôle. Tant que l’ensemble des
collaborateurs ne percevront pas réellement
la valeur ajoutée de l’activité de contrôle,
tant qu’elle ne sera pas prise en compte plus
explicitement dans l’objectif des commer-
ciaux comme des managers, le contrôle sera
vécu comme une contrainte supplémentaire
dans l’exercice de leur activité. Même si
© Lavoisier | Téléchargé le 19/03/2024 sur www.cairn.info (IP: 196.117.122.101)
Il est donc essentiel que le rôle des ins-
tances de gouvernance continue de s’ac-
croître et que leur responsabilité continue
d’augmenter face aux instances de régula-
tion. Il est nécessaire d’avoir aujourd’hui
une vision élargie de la fonction contrôle,
bien au-delà du contrôle de gestion, comme
partie prenante du dispositif de gouver-
nance (Bouquin, 2004). Ce modèle est donc
susceptible de constituer une référence pour
les régulateurs dans le cadre de la définition
de leurs attentes en vue d’édicter des règles
ou des directives ou lorsqu’ils procèdent à
des contrôles.
Cet article avait pour ambition de plaider en
faveur d’un mélange équilibré entre
approches quantitative et qualitative de la
gestion du risque opérationnel bancaire.
Faut-il rappeler qu’un modèle n’est et ne

© Lavoisier | Téléchargé le 19/03/2024 sur www.cairn.info (IP: 196.117.122.101)

plusieurs banques à réseau nous ont
confirmé avoir intégré des objectifs de
conformité dans les objectifs généraux des
vendeurs, ces derniers reconnaissent sou-
vent qu’ils ne font souvent pas le poids face
à des résultats commerciaux. On peut
d’ailleurs se demander si la progression
continue de ce type d’objectifs est réelle-
ment compatible avec un fonctionnement
en totale conformité (Lamarque, 2008).
sera jamais rien de plus qu’une « grille de
lecture simplifiée face à la complexité, qui
aide à prendre des décisions. Il est adapté à
un problème spécifique et il faut aussi avoir
une grande conscience de ses limites de
validité7 » ? C’est lorsque la finance se met
à chercher du risque pour trouver du rende-
ment que la gestion des risques prend véri-
tablement tout son sens.

BIBLIOGRAPHIE
Basel Committee on Banking Supervision, “Basel II : International Convergence of
Capital Measurement and Capital Standards : A Revised Framework – Comprehensive
Version”, Basel, June 2006.
Bouquin H., Le contrôle de gestion : contrôle de gestion, contrôle d’entreprise et
gouvernance, 6e édition, PUF, coll. « Gestion », 2004.
Brickley J.A., Smith C.W. et Zimmerman J.-L., “Business ethics and organisational
architecture”, Working paper n°FR 00-14, The Bradley Policy research center, 2000.

7. Interview de Nicole El Karoui, responsable du master « probabilités et finance » de l’université Paris-VI et pro-
fesseur à l’École polytechnique, Les Échos, lundi 10 mars 2008.
 108 Revue française de gestion – N° 191/2009

Charreaux G., « La théorie positive de l’agence : lectures et relectures », De nouvelles théo-

ries pour gérer l’entreprise du XXIe siècle, G. Koenig éd., Economica, 1999.
COSO 2, Entreprise Risk Management Framework, www.coso.org/Publications/
ERM/COSO_ERM_ExecutiveSummary_french.pdf
Feller W., An introduction to Probability Theory and Its Applications, vol. II, second
edition, Wiley Series in Probability and Mathematical Statistics, Wiley, 1971.
Frachot A., Moudoulaud O. et Roncalli T., “Loss Distribution Approach in Practice”, The
Basel Handbook : A Guide for Financial Practitioners, M. Ong (eds), Risk Books, 2003.
Frachot A., Roncalli T. et Salomon E., “Correlation and Diversification Effects in Operatio-
nal Risk Modelling”, Operational Risk, May 2004.
Godowski Ch., « La quantification des risques de marché et de crédit : fondement de l’acti-
vité bancaire », Management de la banque : Risques, relation client, Lamarque É. éd.,
organisation, 2e édition, Pearson, 2008.
Klugman S., Panjer H. et Willmot G., Loss Models : from Data to Decisions, 2nd edition,
Wiley, 2004.
Lamarque E., « Coordonner un système global de contrôle des risques : entre gouvernance et
contrôle interne », Management de la banque : Risques, relation client, Lamarque É. éd.,
organisation, 2e édition, Pearson, 2008.
Mignola G., et Ugoccioni R., “Tests of Extreme Value Theory Applied to Operational Risk
© Lavoisier | Téléchargé le 19/03/2024 sur www.cairn.info (IP: 196.117.122.101)

© Lavoisier | Téléchargé le 19/03/2024 sur www.cairn.info (IP: 196.117.122.101)

Data”, Operational Risk E. Davis (eds), Risk Books, 2005.
Olfield G.S. et Santomero A.M., “Risk management in financial institutions”, Sloan
Management Review, vol. 39, n° 1, 1997, p. 33-46.
Roncalli T., La gestion des risques financiers, Economica, 2004.
Siguret J.-L., Fernandez E. et Koessler L., Le contrôle interne bancaire et la fraude, Dunod,
2006.