La reconversion, parent pauvre des politiques d…
Début décembre 2013, 350 000 agriculteurs ont touché deux fois le montant de leurs primes provenant de la PAC (3,4 milliards d'euros de trop perçu) à cause d'une erreur informatique survenue dans une grande banque française.
Fin décembre 2013, une autre grande banque annonce qu'un bug a eu pour effet de prélever jusqu'à 3 fois la même transaction chez certains clients. Bien que moins retentissants que certains scandales récents dans le milieu bancaire, ces incidents sont suivis de très près par les établissements bancaires. Au-delà du risque de réputation associé, le risque opérationnel a un coût, et notamment un coût en fonds propres non négligeable depuis Bâle II. Comment les banques intègrent-elles ces dangers par ailleurs en constante évolution dans leur politique de gestion des risques et que font elles pour éviter que de telles situations se reproduisent ?
Dès 2004, sous l'effet de la réglementation, le risque opérationnel a fait l'objet de réflexions structurantes au sein des directions de risques bancaires de la place. Intégré au ratio de solvabilité (ex - ratio MC Donough), à travers le pilier 1 de Bâle II, il doit être couvert par des fonds propres. Cette exigence s'est d'ailleurs récemment confirmée avec la transposition européenne de Bâle III qui réaffirme la nécessaire prise en compte du risque opérationnel pour le calcul des fonds propres. Le règlement CRR définit le risque opérationnel tel que « le risque de pertes découlant d'une inadéquation ou d'une défaillance des processus, du personnel et des systèmes internes ou d'événements extérieurs, y compris le risque juridique ». Ainsi, le risque opérationnel peut provenir de défaillances internes à l'entreprise mais également de menaces externes. Dans ce cadre, le comité de Bâle retient une classification qui distingue 7 catégories d'événements liés à ce risque :
Cette catégorisation exclut par conséquent de la définition, le « risque de réputation » et le « risque stratégique ».
Le coût du risque opérationnel est non négligeable pour les banques. Il représentait 10,5% des coûts du risque bâlois[1] en 2013 pour 5 des plus grands groupes bancaires français (BNP Paribas, BPCE, Société Générale, Crédit Agricole et La Banque Postale) soit un peu moins de 180m€[2].Il reste bien moins important que le risque de crédit totalisant 84,6% des risques bâlois mais devant le risque de marché représentant 4,9% des coûts des risques[3].
Depuis quelques années, la part de ce coût en termes de fonds propres, a légèrement augmenté dans la part du coût total des risques (9,4% en 2008 à 10,5% en 2013) mais également en valeur absolue et ce pour tous les établissements.
Cette tendance est observable pour la BNP, BPCE et le Crédit Agricole qui voient, années après années, augmenter de quelques dixième de points la part de ce risque : respectivement 10,2%, 10 ,3% et 8,6% en 2013. La Société Générale après une importante hausse en 2009 (+ 1,4 points à 14,5%) a vu sa part baisser progressivement pour atteindre 12,9%. Une part toujours supérieure à la moyenne de ses consurs à l'exception de la Banque Postale qui affichait en 2013, 18,8% de coût du risque opérationnel. La fourchette est donc relativement large puisqu'elle varie de 8,6% à 18,8%.
En termes strictement financiers, ce type de risque représente plusieurs dizaines de millions d'euros en actifs pondérés :
L'analyse des données relatives aux types de risques générateurs de pertes met en exergue deux sources majeures de pertes parmi les sept recensées par le comité de Bâle.
Enfin, et malgré leur côté spectaculaire, les événements de fraudes internes qui incluent le rogue trading[4] ne représentent que 4% des pertes totales en moyenne pour les banques françaises. Toutefois, au-delà du coût financier induit directement, ces événements impactent durablement l'image et la notoriété des banques.
Bâle II a imposé que l'ensemble des métiers soient couverts par une politique des risques opérationnels associée à des dispositifs de contrôles. Les banques ont donc dû industrialiser leur processus de contrôle permanent. La réforme leur a également imposé de déterminer un montant de fonds propres à mettre en face des risques encourus. Pour ce faire, plusieurs approches de calcul étaient envisageables :
Les nouvelles natures de risque obligent les établissements à revoir leurs dispositifs régulièrement tout en les spécialisant. Dans le cadre de sa lutte contre la cybercriminalité, le Crédit Agricole a créé deux unités distinctes : une est dédiée aux attaques virales alors que l'autre traite les problématiques d'usurpation d'identité et de détournement de biens. Le risque de cette spécialisation est de mettre en place des structures de suivi et de contrôle lourdes et peu flexibles qui ne permettent pas de détecter de nouvelles formes de risques et de réagir rapidement. Ces processus doivent donc être revus régulièrement. Cela passe par un examen du périmètre couvert par les KRI[6], des limites et des seuils d'alertes fixés et une rationalisation du reporting RO pour faciliter la prise de décision.
En parallèle, une trop grande sophistication et automatisation des contrôles peuvent mener à une baisse de vigilance. Il est donc recommandé d'effectuer en plus des contrôles habituels, des contrôles inopinés et de veiller à la motivation et la curiosité des contrôleurs.
Sous l'impulsion du régulateur, et de la réglementation Baloise, les Banques françaises ont acquis une connaissance approfondie de leur risque opérationnel. Cet effort de conformité a permis aux banques de minimiser le nombre d'incidents et de réduire relativement le coût en fonds propres qui lui est rattaché. Toutefois à l'aune d'incidents récents, il apparait que ces dispositifs de contrôle, en dépit de leur degré de sophistication, ne sont pas infaillibles. Or, la répétition de ce genre d'événement peut non seulement affecter financièrement la santé de l'entité, mais également nuire durablement à sa notoriété. Un deuxième coût réel et pourtant exclu du périmètre risque opérationnel.
[1] En pourcentage des actifs pondérés
[2] En actifs pondérés
[3] CF. note 1.
[4] Transactions financières effectuées par un employé de l'établissement sans qu'elles soient approuvées
[5] Sources : rapports annuels 2013 de : CASA (moyenne 2011-2013), SG (moyenne 2009-2012), BPCE(période non précisée), BNPP (2008-2013), et Banque Postale (moyenne 2009-2013)
[6] Key Risk Indicator