255. Origines de la méthode. Conçu initialement comme un moyen d’optimiser les budgets
d’assurance des entreprises, la gestion des risques a été par la suite appliquée à tous les risques, même s’il reste fortement influencé par l’économie de l’assurance et la finance. Son objectif central « est d’assurer la protection du capital économique d’une firme et de réduire
la sensibilité de ses résultats à d’éventuelles pertes accidentelles. Il doit contribuer à diminuer la vulnérabilité535 » de l’entreprise.
256. Caractéristiques de la méthode. La méthode d’analyse qui lui est attachée est à la fois
qualitative et quantitative (§1) et comporte plusieurs phases distinctes, en partant de l’identification jusqu’à la gestion proprement-dite (§2).
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% 532%L’un%des%objectifs%de%la%gestion%des%risques%peut%être%également%d’éliminer%certains%risques.%Cependant,%il%est% clair%qu’il%n’y%a%pas%de%«%zéro%risque%».%Toute%entreprise,%toute%organisation%est%soumise%aux%risques.%% 533 %H.%DENIS,%Gérer!les!catastrophes,!L’incertitude!à!apprivoiser,%Presses%de%l’Université%de%Montréal,%1993.% 534%La%première%avancée%significative%de%l'homme%dans%ce%sens%a%été%réalisée%en%1654,%lorsque%Blaise%Pascal%et% Pierre%de%Fermat%ont%fait%appel%aux%mathématiques%pour%analyser%un%simple%jeu%de%hasard,%créant%ainsi%le% fondement%de%la%théorie%des%probabilités%;%voir%en%ce%sens%le%dossier%thématique%L’art%de%la%gestion%des%risques,% supplément%Les!Echos,%28%septembre%F13%décembre%2000.% 535%C.%KHAROUBI,%PH.%THOMAS,%Analyse!du!risque!de!crédit,%Revue%Banque,%2013,%p.%125.%
§1 Analyse qualitative et quantitative
257. Forte interaction entre l’analyse qualitative et quantitative. L’analyse de risque peut
être divisée en deux grandes parties : une partie qualitative (A) et une partie quantitative (B). Il existe une forte interaction entre les deux. La première contribue à l’identification exhaustive des risques et la deuxième offre une image chiffrée de l’impact financier des risques en question, en termes de coût annuel.
A. Analyse qualitative
258. Analyse qualitative des risques. L’analyse qualitative utilise un arsenal terminologique
qui n’est pas étranger au raisonnement juridique : les causes (ou défaillances), le risque (son occurrence est liée à une ou plusieurs causes), les effets (conséquences) et les contrôles.
259. Identification des risques. L’identification des évènements redoutés est le point central
de l’analyse qualitative de risque. Une fois identifiés, et en fonction de la complexité des risques et du chevauchement des défaillances, l’analyste de risque aura le choix entre plusieurs démarches afin d’identifier les causes des risques, puis d’en mesurer les conséquences.
1. La démarche inductive ou la méthode descendante
260. Démarche inductive : causes et conséquences. En partant des événements redoutés
identifiés, l’analyste de risque essaye de comprendre le déroulement logique du risque en
question, en partant des causes possibles pour aboutir à leurs effets.536
Figure n° 3 : La démarche inductive
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% 536%En%ce%sens%il%y%a%différents%outils,%tels%que%l’analyse%préliminaire%des%risques,%l’analyse%par%arbre% d’évènements,%l’analyse%des%modes%de%défaillance,%de%leurs%effets%et%de%leur%criticité%:%voir%en%ce%sens%J.% CHARBONNIER,%op.!cit.,%p.%77F78%;%M.%FAVARO%et%M.%MONTEAU,%«%Bilan%des%méthodes%d’analyse%a%priori%des% risques%»,%in%Cahiers!de!notes!documentaires,%n°%139,%INRS,%2e%trim.,%1990%
Cause
(défaillance)
Evènement
Conséquence
(effet)
A titre d’exemple, si l’on pense que l’un des objectifs de la banque est de mettre à disposition du client un prêt adapté, nous pouvons considérer que l’hypothèse probable qu’un client se retourne contre la banque pour défaut d’information dans un dossier de prêt constitue un évènement redouté impactant la ligne métier dédiée au financement des particuliers. Cet évènement redouté met en lumière plusieurs aspects liés au défaut d’information ou de conseil du banquier.
261. Identification des causes. Par conséquent, l’objet de l’analyse qualitative est d’identifier
les causes possibles de cet évènement. Toujours à titre d’exemple, dans l’hypothèse relative à l’inadéquation d’un prêt, les causes possibles peuvent être les suivantes :
- l’accord d’un crédit excessif ou non-adapté à un client considéré comme profane (une personne qui n’a pas l’habitude de réaliser des opérations bancaires et qui ne dispose ni d’une situation financière, ni d’un patrimoine immobilier importants) ;
- défaut d’information précontractuelle et/ou contractuelle des cautions ; - prise de cautionnement disproportionné ;
- absence d’information sur la tarification ou non-respect de l’obligation d’information concernant toute modification tarifaire ;
- défaut de recueil du consentement du conjoint lors du montage du dossier pour les clients mariés sous le régime de la communauté ;
- formule de calcul erronée du taux effectif global (TEG): TEG supérieur à celui annoncé dans le contrat ou TEG supérieur au taux d’usure.
262. Evaluation des conséquences. Après l’identification des causes, il est opportun de
procéder à une évaluation de ce risque, en identifiant le plus exhaustivement possible ses conséquences financières. Dans l’exemple pris ci-dessus, les effets redoutés par la banque seraient notamment:
- une sanction judiciaire sous plusieurs formes : déchéance du droit aux intérêts, perte de tout ou partie de la créance, paiement de dommages et intérêts ;
- des frais de justice ;
- les coûts additionnels liés au traitement d’un dossier juridique complexe par les employées de la banque.
2. La démarche déductive ou la méthode ascendante
263. Démarche déductive : arbre de défauts. Il est intéressant de présenter une autre
méthode d’analyse qualitative du risque utilisée dans la gestion des risques et qui remonte des effets en direction des causes primaires, en reconstituant le déroulement des évènements susceptibles de conduire à une conséquence indésirable pour la banque (perte, manque à gagner, risque d’image, etc.) L’outil le plus connu est l’arbre de défauts (fault tree analysis). L’hypothèse est la suivante : si la responsabilité de la banque est retenue, quelles seraient les causes ? Un problème ponctuel de commercialisation, une politique de commercialisation
non-conforme ; un défaut de conception du produit, un défaut du support de commercialisation ?
Nous constatons que l’effet (la condamnation de la banque) ouvre la voie à plusieurs
scénarios relatifs aux causes possibles. Cet arbre permet à l’analyste de risque de lui associer
des taux de chance de survenance à chaque hypothèse prise en considération.
Figure n° 4 : Arbre de défauts
B. Analyse quantitative
264. Analyse quantitative. L’analyse quantitative est l’aboutissement et la suite logique de
l’analyse qualitative. Son objet est d’estimer la fréquence et la gravité des risques potentiels pris en considération. Il s’agit en définitive de chiffrer un risque (évènement redouté), quel qu’il soit : risque fréquent ou risque critique (extrême).
condamnation de la banque prêt inadapté problème relatif à la commercialisation du produit bancaire défaut d'information ponctuel formation insuffisante de la force de vente politique de commercialisation non conforme défaut de contrôle produit défectueux problème relatif à la conception du produit défaut de
contrôle mauvais ciblage
problème relatif au support de commercialisation défaut de contrôle du contenu erreur imprimerie
1. Les éléments essentiels de l’analyse quantitative %
265. Concepts clefs. Dans la vision du risk management, un risque se caractérise par trois
éléments essentiels : la probabilité de sa survenance (fréquence), la gravité de ses conséquences et la criticité.
266. Criticité. L’articulation des deux premiers éléments permet en effet de définir le
troisième paramètre : la criticité, qui servira ensuite à la hiérarchisation des risques537. La relation entre ses trois éléments est mise en évidence par le diagramme de Farmer.
Gravité
Moins acceptable
Plus acceptable
Probabilité
Figure n° 5: La criticité et le diagramme de Farmer 538
Ainsi, on déduit que plus grande est la criticité, moins acceptable devient un risque. On déduit donc qu’il y a bien des risques acceptables et risques inacceptables, car mettant en péril la rentabilité ou même la pérennité de l’entreprise. L’acceptabilité d’un risque pourrait être représentée graphiquement par une ligne diagonale entre les axes exprimant la gravité et la probabilité. Le graphique a le mérite de surligner l’existence des risques plus ou moins acceptable. Il est évident que les risques très graves ne sont pas acceptables. Cependant le
graphique, manifestement, n’a pas vocation à être utilisé d’une façon absolue539. Les risques
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% 537 %Y.%METAYER,%L.%HIRSH,%op.!cit.,%p.%11.% 538%ibidem.% 539%idem,%p.%12:%«%La%tendance%naturelle%est%donc%de%tracer%une%ligne%diagonale%F%ou%une%hyperbole%pour%ceux%qui% veulent%croire%qu’ils%ont%trouvé%la%façon%absolue%de%calculer%la%criticité%(…).%Il%«%suffit%»%de%décider%qu’on%va% commencer%par%traiter%les%risques%dont%la%criticité%est%la%plus%grande.%Ils%se%situent%en%haut%et%à%droite%».%En%ce% qui%concerne%la%figure%sur%la%criticité%les%auteurs%remarquent%:%«%Simple%?%Pas%tant%que%cela…Tout%cela%n’est%pas% connue%avec%précision%:%quelle%doit%être%la%largeur%du%trait%?%Le%tracer%trop%étroit%serait%malhonnête%;%le%tracer% trop%large%est%lâche%–%et%surtout%inefficace.%Appliquer%le%principe%de%précaution,%c’est%tracer%une%zone%tellement% large%qu’elle%couvre%toute%la%surface%du%graphique.%».%
acceptables et inacceptables seront établis par le management de la banque en fonction des données concrètes. L’affirmation vaut d’autant plus pour les risques juridiques.
Gravité
A traiter
Acceptable
Probabilité
Figure n° 6 : Zone d’acceptabilité d’un risque540
267. Fréquence. D’après ce critère, les risques peuvent être fréquents ou extrêmes (ou
critiques ou d’amplitude).
268. Gravité. En ce qui concerne la gravité, elle s’estime en fonction de l’impact financier
qui peut être mineur, moyen ou majeur. Selon ce critère, les risques opérationnels peuvent être à faible impact (mineurs ou peu coûteux), impact moyen (moyennement coûteux) ou à impact fort (majeurs ou très coûteux).
269. Articulation des concepts clefs. Le plus souvent (et d’ailleurs, heureusement) les
banques ont dans la pratique certes à gérer des risques fréquents, mais peu coûteux ou à faible impact. Les risques d’amplitude se caractérisent par une fréquence rare, mais à fort impact financier. De toute évidence, et c’est là tout l’art des analystes de risques, il faut savoir les quantifier. La quantification ne serait pas fiable sans la collecte des données internes et externes pertinentes, l’analyse de scénarios, des facteurs reflétant l’environnement opérationnel et les systèmes de contrôle interne.541 En particulier, la collecte des données et une condition un sine qua non de l’analyse quantitative. Dans ce contexte, nous comprenons
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
540%Source%:%ibidem.% 541
%BRI,%Comité%de%Bâle%sur%le%contrôle%bancaire,%Convergence!internationale!de!la!mesure!et!des!normes!de! fonds!propres,%juin%2006,%paragraphe%669%(e).%
la légitimité de l’exigence du régulateur relative à la mise en place d’un système crédible, pertinent et transparent de collecte des données.
La quantification du risque opérationnel doit couvrir la totalité du risque opérationnel défini par le régulateur international, c’est-à-dire toutes les pertes résultant de carences ou de défauts attribuables à des procédures, personnels et systèmes internes ou à des événements extérieurs, y compris le risque juridique542. Dans ce contexte, eu égard à la largeur du périmètre et au chevauchement des causes conduisant aux pertes, il est primordial d’éviter le double comptage des risques.
Figure n° 7 : Les étapes de l’analyse quantitative
2. Les méthodes du calcul du risque opérationnel
270. Méthodes du calcul du risque opérationnel. Dans le domaine du risque opérationnel,
le Comité de Bâle a mis au point trois méthodes de calcul : l'approche indicateur de base (Basic Indicator Approach -BIA), l'approche standard (Standard Approach - SA) et l'approche mesure avancée (Advanced Measurement Approach - AMA).
a) L'approche indicateur de base 543
%
271. Méthode de l’indicateur de base : un calcul forfaitaire. La première méthode suppose
l’application uniforme d’une formule mathématique pour l’ensemble de l’activité de l’établissement, sans aucun critère d’éligibilité. Conformément à l’article 315 du règlement « CRR », selon cette approche, « les fonds propres représentent 15% de la moyenne sur trois
ans de l'indicateur pertinent énoncé à l'article 316 » du même texte européen544. Il s’agit d’un calcul forfaitaire qui exige l’utilisation des trois dernières observations annuelles, effectuées à la fin de chaque exercice. La méthode présente les inconvénients de ses avantages : une mise en place relativement simple qui se révèle, en revanche, coûteuse et moins rentable sur le plan
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% 542 Idem,%paragraphe%644%et%annexe%9.% 543 %Voir%art.%315,%316%et%317%du%règlement%«%CRR%»%;%Voir%aussi%art.%358F4%et%s.%de%l’arrêté%du%20%février%2007.% 544 !L’indicateur,pertinent,est,la,somme,algébrique,des$éléments$listés$à$l’article$316$du$règlement$«%CRR%».%
Analyse quantitative
Description de risques
(fréquents ou
extrêmes)
Estimation de la
fréquence
Estimation de la
gravité
financier, car elle suppose l’immobilisation de 15% du produit net bancaire total au titre du capital réglementaire.
b) L'approche standard
272. Méthode standard : application des coefficients prédéterminés. L'approche
standard545 consiste dans l’application de façon différenciée de certains coefficients variables
en fonction de la ligne de métier ou secteur d’activité. En vertu de l’article 317 du règlement « CRR » les établissements de crédit divisent leurs activités en 8 lignes d'activités ou « lignes métiers » dans la terminologie consacrée par les Accords de Bâle. Ainsi, pour chacune d’entre elle, le régulateur décline un coefficient qui se déduit des indicateurs pertinents de chaque ligne métier. A titre d’exemple, pour la banque de détail il est prévu un coefficient (ou
pondération) de 12% et pour la banque commerciale de 15%546. Si dans la première méthode
il n’y a pas de critères d'éligibilité, dans la deuxième méthode le régulateur a prévu des critères à respecter pour son application. Ces critères sont relatifs à la qualité du système de gestion du risque et le suivi des données de pertes547. Les établissements ayant un profil particulier548 peuvent utiliser après autorisation préalable de l’ACPR une approche standard de remplacement, prévue par l’article 319 du règlement « CRR ».
c) L’approche « mesure avancée »
273. Méthode de mesure avancée : application d’une méthode interne du calcul.
L’approche « mesure avancée »549 est celle qui donne la possibilité aux établissements de crédit de mettre en place leur propre méthodologie de mesure de risques, sous réserve de l’autorisation de l’autorité de contrôle. Le régulateur international et européen accorde ainsi une grande marge de flexibilité aux banques.
274 ». Avantages. Malgré le coût important de la mise en place des services de gestion du
risque opérationnel, cette méthode présente deux grands avantages : elle apporte une meilleure connaissance du profil du risque et la possibilité d’une réduction importante en matière de fonds propres. En effet, cette méthode permet de diminuer dans une limite de 20% le montant total des fonds propres, en prenant en compte les assurances existantes. La banque doit disposer d’un dispositif crédible, transparent, bien documenté et vérifiable pour la mesure
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% 545 %Voir%art.%360F1%à%362F3%de%l’arrêté%du%20%février%2007.% 546%Les%autres%pondérations%par%ligne%métier%:%Finance%des%entreprises%:%18%%;%Activités%de%marché%(compte% propre)%(ou%négociation%et%vente%institutionnelle)%:%18%%;%Activités%de%paiement%et%règlement%:%18%%;%Service% d'agence%:%15%%;%Gestion%d'actifs%:%12%%;%Activités%de%marché%(compte%de%tiers)%(ou%courtage%de%détail)%:%12%.% 547%Art.%320%du%règlement%«%CRR%».% 548 !Les$activités$de$banque$de$détail%et%de%banque%commerciale%représentent%au%moins%90%%%du%revenu%et%une% part%significative%des%activités%de%banque%de%détail%ou%de%banque%commerciale%comprend%des%prêts%présentant% une$probabilité$de$défaut$élevé% 549%Art.%321%et%322%du%règlement%«%CRR%»%;%Art.%363F1%de%l’arrêté%du%20%février%2007.%
du risque opérationnel, capable de couvrir à la fois les pertes attendues et les pertes inattendues.
Les modèles internes peuvent différer d’une banque à l’autre et mettent l’accent sur le savoir –faire de chaque établissement. Cependant, tous les modèles doivent s’appuyer sur des critères qualitatifs550 et quantitatifs551 énumérés dans le Titre III, Chapitre 4 du règlement « CRR » et approuvé ensuite par les autorités de contrôle compétentes. Ces critères portent principalement sur l’organisation interne de la banque, le processus de gestion des risques, la collecte des données internes et externes, les analyses de scénarios, l'environnement économique et les facteurs du contrôle interne. La sévérité des critères et des contrôles est censée compenser la grande attractivité de cette approche en termes financiers (l’AMA étant moins dévoratrice de fonds propres en comparaison avec les autres méthodes).
275. Approbation de la part des autorités de surveillance compétentes. La complexité des
modèles et les enjeux en matière de stabilité et solvabilité financière, ainsi que de rendement, justifient la nécessité d’une approbation préalable de l’autorité de surveillance nationale, voire européenne (une fois le mécanisme européen de surveillance unique entré en vigueur). Le retour à des approches moins sophistiquées est possible si la banque obtient l’accord de la part des autorités de tutelle compétentes. Cependant, il est strictement encadré par l’article 313 du règlement « CRR » et la banque doit démontrer que la régression n’est pas proposée « dans le
but de réduire les exigences de fonds propres liées au risque opérationnel applicables à l'établissement, qu'elle est nécessaire vu la nature et la complexité de l'établissement et qu'elle ne devrait pas avoir d'impact négatif significatif sur la solvabilité de l'établissement ou sur sa capacité de gérer efficacement le risque opérationnel ».
Après avoir montré les concepts fondateurs de l’analyse qualitative et quantitative, ainsi que les méthodes de calcul du risque opérationnel, il nous reste maintenant à montrer les
principales phases de la méthodologie générale de la gestion des risques (§2). %
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
550Voir%art.%321%du%règlement%européen%«%CRR%»%%précité.%Voir%également%art.%365%de%l’arrêté%du%20%février%2007%;% C.%JIMENEZ,%P.%MERLIER,%op.!cit.,%pp.%167%F170.%
§2. La méthodologie générale de la gestion des risques (risk management)
276. Méthodologie générale. La mise en œuvre d’un dispositif de gestion de risque
opérationnel suppose l’application d’une méthodologie relevant du risk management552 et qui
est traditionnellement structurée en trois phases essentielles, à savoir la connaissance (A), le traitement (B) et la gestion (C) des risques.
Figure n° 8 : Les piliers de la gestion des risques
Nous allons présenter brièvement chacune de ces trois étapes. Cet exercice nous sera d’une grande utilité dans l’analyse des risques juridiques bancaires.
A. La connaissance des risques
277. Première phase : connaissance des risques. Cette première phase suppose
l’identification des risques susceptibles d’entraîner des pertes pour une entreprise. Dans le domaine bancaire, l’identification des risques se fait le plus souvent à l’aide des analyses dédiées à un thème précis, déclinées au titre de chaque métier ou fonction de la banque. Cette étape consiste à recueillir des informations, les ordonner, vérifier leur pertinence et ensuite utiliser des outils techniques pour créer des bases de données historiques des risques avérés.
De manière générale, les risques peuvent être classés, en distinguant selon553 leur localisation
au niveau des fonctions et métiers de l’entreprise (direction générale, direction des ressources humaines, direction juridique, direction conformité, métier) et leur provenance (interne ou externe). %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% 552 %J.%CHARBONNIER,%Le!risk!management,!Méthodologie!et!pratiques,%op.!cit.%p.%40F41.% 553%Idem,%p.%45F47.% Connaissance des risques • identification (cartographie des risques) • évaluation (conséquences) • quantification (calcul de l'impact financier)
Traitement des risques
• renforcement des contrôles
• mise en oeuvre des systèmes de maîtrise des risques
• financement /transfert des risques
(assurances...)
Gestion des risques
• suivi de l'information • traitement de
l'information • audit
1. Le référentiel réglementaire ou les éléments constitutifs du risque opérationnel selon le Comité de Bâle
278. Critères de segmentation des risques opérationnels. En ce qui concerne les risques opérationnels, les travaux du Comité de Bâle ont proposé une segmentation des risques en 8 lignes métiers et 7 catégories d’événements représentatives de l’ensemble des activités bancaires. Elles ont été reprises par la réglementation européenne en matière de fonds propres.
279. L’ensemble de l’activité de l’établissement est divisé en métiers bancaires. Les métiers prédéfinis par le règlement européen « CRR » sous la terminologie des « lignes d’activité » sont : le financement des entreprises, la négociation et la vente, le courtage de détail554, la
banque commerciale, la banque de détail555, le paiement et le règlement, les services d'agence
et la gestion d'actifs556.
280. L’ensemble du risque opérationnel est divisé en catégories de risques opérationnels. Concomitamment, aux termes de l’article 324 du règlement « CRR », les 7 grandes catégories de types d'événements causant des pertes sont :
- « Fraude interne (pertes liées à des actes visant à commettre une fraude ou un détournement d'actif ou à enfreindre/tourner une réglementation, une loi ou des règles de l'entreprise, à l'exclusion des cas de discrimination ou d'inapplication des règles en matière de diversité, et impliquant au moins un membre de l'entreprise)
- Fraude externe (pertes liées à des actes de tiers visant à commettre une fraude ou un détournement d'actif ou à enfreindre/tourner la loi)