La reconversion, parent pauvre des politiques d…
Malgré le renforcement de la réglementation sur la gestion des risques ces dernières années (Bâle II, MIFiD, Sarbanes - Oxley / Loi sur la Sécurité Financière, Blanchiment et lutte contre le financement du terrorisme...), le secteur bancaire n'a pas pu éviter l'été dernier la crise des subprimes.
La crise des subprimes qui, par contagion a affecté tout le reste de l'économie, a permis de mettre en évidence la fragilité des différents dispositifs de maîtrise des risques en vigueur dans les établissements financiers, les agences de notation et les autorités de surveillance des marchés financiers. Cette fragilité a également été illustrée par la fraude interne qui a coûté à la Société Générale 4,9 Mds d'Euros.
Il résulte de ces deux faits majeurs le constat que l'avènement et la transposition de nouvelles réglementations ne permettent pas aux entreprises d'être complètement exonérés des facteurs de risques à l'origine de ces pertes financières. En effet, les récentes mesures prises par les Autorités américaines pour renforcer le secteur financier avec l'extension des pouvoirs de la Federal Reserve Bank ainsi que les réflexions et initiatives européennes ne pourront être efficaces que si les différents acteurs s'approprient pleinement leur système de gestion des risques.
S'approprier son dispositif de gestion des risques opérationnels revient à mettre en place une démarche structurée jalonnée par un certain nombre d'étapes indispensables parmi lesquelles figurent...
Il s'agit de définir un cadre de référence qui fixe les principes et règles de gestion des risques potentiels et avérés qui affectent l'entreprise (critères d'évaluation, gouvernance du comité des risques...). En effet, les différentes activités et politiques de développement initiées par l'entreprise l'exposent à des risques opérationnels pouvant générer des pertes financières. Ces risques ne peuvent être appréhendés qu'avec l'instauration d'une véritable culture d'entreprise. La politique de gestion des risques opérationnels est le premier jalon de cet investissement après la définition de son profil de risque. Elle doit être en parfaite adéquation avec les différentes textes réglementaires, notamment Bâle II, ce qui implique la mise en place d'une veille réglementaire pour une mise à jour régulière de cette politique.
Enfin la définition d'une politique de gestion des risques opérationnels doit être érigée au même niveau de priorité que les actions commerciales pour éviter une dégradation de la performance de l'entreprise.
Cette phase consiste à identifier et structurer les risques opérationnels qui seront présentés in fine dans un support de cartographie des risques.
Il existe plusieurs approches pour parvenir à ce résultat.
Quelle que soit l'approche retenue pour identifier les risques, il convient de la compléter par un rapprochement avec un benchmark sectoriel sur les risques opérationnels.
Le résultat de ces travaux doit être formalisé dans un support de cartographie qui présenterait par type de processus les risques associés.
À partir de la cartographie des risques opérationnels établis, il convient d'effectuer une évaluation des risques identifiés. Pour cela, une définition des critères d'évaluation des risques doit être effectuée pour objectiver ce processus d'évaluation.
L'observation des pratiques de place dans ce domaine permet d'identifier les critères suivants :
En synthèse, l'appréciation des risques opérationnels doit se faire au regard de ces critères, complétée de l'évaluation du risque résiduel pour obtenir le risque net.
Ce processus d'évaluation des risques opérationnels doit être intégré comme un jalon marquant et indispensable dans les process d'établissement du cycle de vie des projets et des produits.
Cette phase correspond à la mise en place d'un dispositif de suivi et de contrôle du profil de risque de l'entreprise. Elle démarre avec la détermination du niveau de risque tolérable pour l'entreprise. Ce seuil de tolérance s'entend non seulement en termes de risque maximum mais aussi en termes de risque atypique. Bien entendu, le seuil de tolérance défini par l'entreprise doit faire l'objet d'une remise en cause régulière afin de s'assurer de sa pertinence au regard de l'évolution des facteurs endogènes (politique commerciale, formation...) et exogènes (réglementation, concurrence...).
Le dispositif de surveillance défini par l'entreprise et piloté par le risk management doit permettre de :
Pour atteindre ces objectifs, l'entreprise s'appuie sur un réseau de « correspondants risques » en charge d'un « portefeuille de risques » associé à des activités. Il s'agira pour cette équipe de :
Pour compléter ce dispositif, il convient de définir des indicateurs majeurs sur la gestion des risques qui pourront être présentés à tous les niveaux de l'entreprise (management, organes délibérants et exécutifs).
Cet ensemble de dispositions constituent le socle minimum nécessaire pour assurer la responsabilisation, la sensibilisation et la formation des acteurs sur les problématiques de risques.