informationnelles permet-il une meilleure maîtrise des risques bancaires ?
2. L’identification des facteurs de risque et la structuration des informations du contrôle des risques
La complexité des grandes institutions financières modernes (par exemple les banques universelles internationales), qui sont généralement transfrontalières et qui se livrent à une multitude d’activités, les oblige à être de plus en plus vigilantes et sophistiquées dans leur contrôle des risques, surtout après la violence de la crise de 2008. De plus la multiplication récente des nouvelles réglementations, et les contraintes de reporting
qu’elles imposent, obligent les directions des risques des institutions financières à repenser constamment l’organisation de la collecte des métriques de risque qui leur sont nécessaires. Ces établissements se doivent d’avoir à la fois une vision de détail et un suivi global des risques multiples auxquels ils sont exposés, et cela ne peut se faire que par une structuration active et intelligente des informations du contrôle des risques (par filiale ou au niveau du groupe).
2.1. La multiplicité des facteurs de risque et l’établissement de priorités
Si l’on regarde l’histoire des crises financières et des faillites bancaires, on pourra observer au-delà de leurs apparences idiosyncratiques les similitudes qu’elles par-tagent (Reinhart & Rogoff, 2009). Même si les contextes des crises sont à chaque fois uniques, les racines de celles-ci peuvent être le plus souvent répertoriées au sein de grandes catégories : bulle spéculative, crise de surendettement, etc. Cela sug-gère un optimisme raisonné pour le contrôleur de risques puisque celui-ci, d’après cette taxonomie, n’aurait qu’à suivre quelques grandes catégories de risques et des heuristiques assez simples afin d’assurer la santé et la pérennité de l’établissement bancaire concerné.
Par exemple, et selon cette logique de contrôle de grandes catégories de risques, l’un des premiers risques à suivre pour la direction des risques est la formation d’une bulle
Chapitre 3 : La normalisation comptable
Le renforcement des exigences informationnelles permet-il une meilleure maîtrise des risques bancaires ?
sur une classe d’actifs à laquelle l’établissement bancaire est largement exposé. Cela peut être d’autant plus délicat à gérer que l’établissement bancaire peut lui-même avoir contribué à la formation de cette bulle par une activité jusque-là très rémunératrice et florissante pour la banque 19. Cet exercice de suivi de la taille des différentes classes d’actifs et des risques de formation de bulles n’incombe pas qu’à l’établissement ban-caire mais également au régulateur bien sûr, plus à même d’avoir une vision transversale de l’évolution et de la qualité d’une classe d’actifs. Il est à noter que ce risque de bulle, et de développement inhabituel de la taille d’une classe d’actifs, peut par exemple être mitigé par des exigences dynamiques de capital comme cela a été pratiqué par la Reserve Bank of India (Sinha, 2011).
Mais les risques d’un établissement bancaire sont bien sûr multiples : actes terroristes ; risques opérationnels en tout genre, du “fat finger“ d’un trader à des actes de falsification des pertes, en passant par les risques informatiques ; risques géopolitiques ou souve-rains, etc.
Tous ces risques doivent être mis en perspective et ordonnés de manière dynamique par le contrôleur des risques. Il y a les “incertains certains“ (les known unknowns) et les “incertains imprévisibles“ (les unknown unknowns), ces derniers ne pouvant, par définition, être appréhendés par des rapports de routine qui auront tendance à se focaliser sur des risques et des métriques connus. C’est ce travail de consolidation et de hiérarchisation des risques suivant le contexte du moment qui demande un travail de va-et-vient intelligent et adapté entre la direction des risques et les différentes unités opérationnelles de la banque. Bien entendu ces dernières doivent faire remon-ter de manière périodique leurs métriques habituelles (et obligatoires, dans un souci de conformité) de suivi des risques telles que, la value-at-risk (VAR) estimée d’un portefeuille ou l’état de liquidité du marché concerné. Les équipes opérationnelles doivent également avertir leur direction des risques non anticipés, et inversement, la direction des risques doit avertir les différentes unités opérationnelles de risques émergents dont ces dernières (dépourvues de vision transversale) n’ont pas forcé-ment conscience.
Là encore les exigences de normalisation du contrôle interne évoquées plus haut, tant sur la structure des dispositifs de contrôle que sur les procédures permettant d’agencer l’information essentielle, ne doivent pas constituer un refuge où l’implémentation méticu-leuse de procédures se substitue aux jugements et aux initiatives hors des sentiers battus qu’un contrôle des risques perspicace et efficace peut parfois requérir.
2.2. La structuration des informations du contrôle des risques
Ainsi, la structuration de l’information portant sur le contrôle des risques doit non seule-ment se conformer à des catégories régleseule-mentaires connues et exigées par la conformité, mais également comporter une partie flexible et réservée à un dialogue qualitatif entre la direction des risques et les différentes unités du groupe.
Il paraît assez évident que les informations utilisées pour le contrôle des risques doivent coller au plus près des risques concernés. Par exemple, s’il s’agit d’un établissement
19. Ainsi, il aurait été délicat pour les banques ayant fortement contribué au développement du mar-ché subprime, via la titrisation, de tout à coup se retirer de ce marmar-ché. Il peut y avoir des asymétries d’information et des conflits d’intérêt entre la banque et ses clients, comme par exemple les poursuites intentées à l’encontre de certaines grandes banques (Goldman Sachs) l’ont illustré.
bancaire qui a accordé de nombreux prêts à des PME concentrés dans quelques secteurs industriels, il est nécessaire que l’information transmise à la direction des risques, et de manière plus large aux structures de direction, comprenne un ensemble d’informations relatives à l’état de ces secteurs industriels, avec des données aussi précises que pos-sible sur l’évolution des principales sociétés auxquelles la banque a accordé des crédits. De même, si l’établissement bancaire est détenteur d’un parc immobilier important (rési-dentiel ou commercial), la direction de l’établissement bancaire voudra bien évidemment suivre au plus près l’évolution du marché immobilier et faire un point périodique sur la qualité de ses actifs ainsi qu’une évaluation de stress test face à différents scénarios de retournement de la conjoncture.
Il est clair que les informations du contrôle des risques doivent répondre à la fois à des impératifs qualitatifs, afin de comprendre le contexte du risque, et quantitatifs, afin de cerner l’échelle possible du risque en termes d’impact et de fréquence.
Une étape cruciale dans cette structuration des informations du contrôle au sein d’un établissement bancaire complexe (tel une banque universelle) est la conso-lidation de ces rapports sur les différents risques encourus par chaque activité. Ce que la crise récente a clairement souligné est qu’il faut absolument éviter une logique de silo où les risques sont évalués indépendamment les uns des autres, sans même que leurs combinaisons et les scénarii de contagion les plus probables ne soient saisis. En effet, la difficulté n’est pas tant de bien identifier un risque mais d’analyser ses causes, qui peuvent être le fruit de combinaisons multiples. Le dispositif de maîtrise des risques doit donc recueillir l’information individuelle de chaque unité opérationnelle pour l’analyser dans son ensemble à l’aune de ces effets de contagion potentiels.
Dans l’élaboration des différents scénarios susceptibles de refléter les évolutions pos-sibles d’un contexte économique, il est indispensable de regarder les cas de figure les plus pessimistes où les valeurs de classes d’actifs chutent ensemble, ou de manière très corrélée. Les corrélations entre classes d’actifs sont à la fois difficiles à estimer préci-sément et doivent être manipulées avec beaucoup de prudence dans la consolidation globale des risques 20.
Ainsi, la structuration des informations du contrôle des risques doit anticiper les analyses conjoncturelles et autres stress tests que la direction des risques devra régulièrement mener.
2.3. Les biais d’interprétation et le partage de l’information
Comme cela a été évoqué par de nombreux chercheurs depuis des décennies, tous les opérateurs humains ont une rationalité limitée (Simon, 1997). Comme tout rapport, le reporting sur les risques doit comporter un résumé de ses points essentiels pour être rapidement intelligible et assimilé par tous. Ce travail de consolidation et de synthèse comporte forcément une part d’arbitraire et peut être un art autant qu’une science.
20. La crise récente a montré une parfaite illustration de ce phénomène dans le domaine du crédit immobilier : la valeur de certains produits titrisés (CDOs, etc.) avait été calculée à partir d’hypothèses de faibles corrélations entre les marchés subprime de différents Etats (par exemple : Floride et Californie). En réalité ces marchés se sont affaissés simultanément et beaucoup plus rapidement que les modèles de valorisation – avec des hypothèses de corrélation irréalistes – ne le supposaient.
Chapitre 3 : La normalisation comptable
Le renforcement des exigences informationnelles permet-il une meilleure maîtrise des risques bancaires ?
Avec les possibilités informatiques actuelles et l’existence d’intranets regorgeant d’infor-mations en temps réel sur le déroulement des opérations, les directions des risques peuvent aujourd’hui coupler une approche quasi-automatique de détection des risques (qui consiste à suivre au fil du temps différentes métriques) avec une approche plus qua-litative qui ne peut à ce jour être automatisée.
Le traitement de l’information par un opérateur humain est bien sûr sujet à différents biais : l’accoutumance (on finit par ne plus faire attention), la sur-confiance (on accorde une confiance aveugle aux métriques fournies sans interroger leur pertinence ou leur calcul), la lassitude face à une surcharge d’informations parfois trop complexe (on finira par ne plus réellement lire des rapports trop denses ou contenant trop d’informations), les contraintes hiérarchiques (on préfère ne pas tirer la sonnette d’alarme de peur de froisser un supérieur hiérarchique), etc.
A ces biais cognitifs ou comportementaux vient s’ajouter un autre problème, essentiel, qui est la gouvernance de l’information. En effet, la direction du contrôle des risques est en possession d’informations souvent très sensibles qui, diffusées sur le marché, pourraient nuire à l’établissement bancaire concerné. Ici, l’opacité comme la transpa-rence peuvent aller contre les intérêts d’une institution financière comme différentes crises l’ont montré, telle que la crise de Long Term Capital Management (LTCM) ou celle des créditssubprime. En effet, à partir du moment où une méfiance généralisée s’installe autour d’une classe d’actifs, comme ce fut le cas avec les produits titrisés
subprime à partir de 2007, l’asymétrie d’information entre un établissement bancaire et ses contreparties peut vite engendrer un cercle vicieux de méfiance et d’effondre-ment des prix. Ce fut claired’effondre-ment le cas à partir d’août 2007 avec la détérioration inat-tendue des taux des prêts interbancaires qui reflétaient les doutes des établissements financiers les uns vis-à-vis des autres, et sur la solvabilité de chacun 21. La question du moment était : quel établissement est le plus exposé aux actifs subprime ? Pour le contrôleur des risques, d’un seul coup, la plus grande discrétion s’imposait. On en arriva même à certaines situations paradoxales où une institution financière pouvait refuser de se refinancer auprès d’une banque centrale pour éviter que cette opération (rendue publique) soit interprétée par les autres acteurs de marché comme un aveu de faiblesse.