Université Ibn Tofaïl Kénitra Thèse de Master spécialisé en Management, Audit et Contrôle Sous le thème :
L’évaluation de la gestion des risques opérationnels au sein
du Groupe Gr oupe Banque Popul Populair air e Encadré par :
Mr Khalifa AHSINA, Professeur à la Faculté des Sciences Juridiques, économiques et sociales Kénitra. Mr Driss OUNABI, Responsable de département Gestion des Risques à la Banque Populaire Meknès. Mr Redouane TAHIRI , Gestionnaire des Risques Opérationnels à la Banque Populaire Meknès. Réalisé par : Mr Youssef BOUAMRI Les membres du jury : Mr Khalifa AHSINA, Professeur à la Faculté des Sciences Juridiques, économiques et sociales de l’Université Ibn Tofaïl. Mr Abdelmoumen BERJAOUI, Professeur à la Faculté des Sciences Juridiques, économiques et sociales de l’Université Ibn Tofaïl. Mr Hassan ELAISSAOUI, Professeur à la Faculté des Sciences Juridiques, économiques et sociales de l’Université Ibn Tofaïl. Année universitaire 2011-2012 -1-
Je dédie ce mémoire à ma très chère famill e, e, pour tout l’amour et le soutien qu’elle ne cesse de m’apporter dans dans la vie.
À mes chers ami(e)s et camarades de Master en reconnaissance des merveilleux moments qu’on a vécu ensemble et à tous ceux qui m’aiment.
À mon encadrant Monsieur AHSINA Khalifa, pour toutes ses précieuses leçons et pour la valeur qu’il a apportée à ma formation.
Au personnel encadrant de la Banque Populaire pour la courtoisie et la sympathie dont il a fait preuve tout au long de mon stage. Et à toutes les personnes agréables généreuses et sympathiques qui ont contribué à l’élaboration de ce mémoire.
-2-
Tout d’abord, je tiens à remercier remercier M. AHSINA Khalifa, mon encadrant,
pour ses précieux conseils et sa disponibilité disponibilit é tout au long de la période de réalisation du présent mémoire. Mes remerciements s’adressent également à M. OUNABI Driss,
responsable de département Gestion des Risques, et à M. TAHIRI Redouane, Gestionnaire des risques opérationnels au sein de la Banque Populaire qui ont ont accepté de répondre à mes questions et à satisfaire ma ma curiosité de la manière la plus efficace possible. Enfin, à toutes les personnes ayant contribué, de près ou de loin, à la réalisation de ce mémoire, qu’elles trouvent ici l’expression de ma reconnaissance et de mes sincères remerciements.
-3-
Dédicaces ................................................................................................................................................... 2 Remerciements ......................................................................................................................................... 3 Sommaire...................................................................................................................................................4 Abréviations……………………………………………………………………………………………………………………………………….6 Liste des figures… ……………………………………………………………………………………………………………………………..8 Liste des tableaux…………………………………………………………………………………………………………………………….8 Introduction ............................................................................................................................................... 9 Chapitre I Présentation Générale du Secteur bancaire Marocain et de La Banque Populaire ..…….11 Section 1 : Aperçu sur le secteur Bancaire Marocain : .................................................................. 12 1.Réformes et évolutions du système bancaire marocain : ......................................................... 12 2.Chiffres-clés du système bancaire : .............................................................................................. 14 Section 2 : Présentation du Groupe de la Banque Populaire : ..................................................... 17 1.Historique : ........................................................................................................................................ 17 2.Le groupe Banque Populaire en Chiffres-clés
.......................................................................... 20
.3 .Mission: ........................................................................................................................... 21
4.Structure et organisation du CPM : .............................................................................................. 22 Chapitre II Approche Conceptuelle de la gestion des risques opérationnels ...………………….25 Section 1: les accords de Bâle et la réglementation marocaine : ................................................. 26 1.le ratio Cooke : .................................................................................................................
27
2.La réforme Mc Donough/Bâle II : .................................................................................... 27 3.La transposition de Bâle II au niveau Marocain : .............................................................
30
Section 2: l’identification du risque opérationnel dans la banque : ............................................ 32 1.Le risque opérationnel : ....................................................................................................
32
2.Les catégories liées au risque opérationnel (Les catégories « Bâloises »): ......................
34
3.Le processus de gestion des risques :................................................................................
35
4.Les principaux outils de gestion des risques opérationnels : ............................................
37
-4-
5.Les saines pratiques de gestion du risque opérationnel : ..................................................
44
Section 3: La mesure et la quantification des risques opérationnels : ......................................... 46 1.L’approche indicateur de base (Basic Indicator Approach ou BIA). .................................... 47 2.L’a pproche standardisée (Standardised Approach ou SA). .................................................... 47 3.Les mesures dites avancées (Advanced Measurement Approach ou AMA). ...................... 49 Chapitre III: Évaluation de la GRO du GBP……………………...………………………………………………………....….53 Section 1 : Missions et organisation de la filière « risques opérationnels » au sein du GBP . 54 1.L’organisation du dispositif de GRO : ........................................................................................ 54 2.La politique de Gestion des RO de la BP : ................................................................................. 54 3.Les missions et les attributions des différents acteurs : ........................................................... 55 Section 2 : Les approches de calcul des exigences des FP en matière de RO selon BAM .. 58 1.Approche indicateur de base : ...........................................................................................
58
2.Les Approches standards : ................................................................................................
58
3.Approche par mesure avancée (AMA) : ...........................................................................
59
Section 3 : Evaluation de la démarche de gestion des risques opérationnels du GBP ............ 61 1.Les exigences réglementaires : .........................................................................................
61
2.Dispositif de gestion des risques opérationnels de la Banque populaire : ........................ 63 3.Les insuffisances : .............................................................................................................
65
4.Recommandations :...........................................................................................................
66
Conclusion ............................................................................................................................................... 72 Bibliographie………………………………………………………………………………..73 Annexes……………………………………………………………………………………..74
-5-
AMA : Advanced Measurement Approach (Approche par mesure avancée) BMCE : Banque marocaine du commerce extérieur BMCI : Banque marocaine du commerce intérieur BCP : Banque de Crédit Populaire BPR : Banque Populaire régionales BP: Banque Populaire BNDE : Banque nationale pour le développement Économique BCDM : BANQUE CHAABI DU MAROC BAM: BANK AL-MAGHRIB BIA: Basic Indication Approach (approche indicateur de base) CIH : Crédit Immobilier et Hôtelier CPM : Crédit Populaire du Maroc CAM: Crédit Agricole du Maroc CDG : CAISSE DE DÉPÔT ET DE GESTION CNUCED : la Conférence des Nations Unies pour le Commerce et le Développement DRO : la direction des risques opérationnels DMR : dispositifs de maîtrise des risques EI : l’indicateur d’exposition (Exposure Indic ator)
FP : Fonds propres FPRO: fond propre du risque opérationnel FEC : Le Fonds d’équipements Communal
GAB : Guichet automatique bancaire GBP : Groupe Banque Populaire GR : Gestion des risques GRO : Gestion des risques opérationnels KRI: indicateurs d’alerte avancés -6-
LDA: Loss Distribution Approach (Approche de Distribution de perte) MAJ: mises à jour MDM: Marocains du Monde OCP: Office chérifien des phosphates PME: petites et moyennes entreprises PMI: Petites et moyennes industrie PCA: Plan de continuité d ’activité PNB: Produit Net Bancaire RDCA: Risk Drivers and Controls Approach RS: score de risque (Risk Score) RO: Risque opérationnel SGAM: société de groupe d'assurance mutuelle SbAMA: Scenario-based AMA SA: Approche standard SGMB: Société générale marocaine des banques
-7-
Figure 1 : Architecture de la réforme Bâle II Figure 2. Du ratio Cook au ratio Mac Donough Figure 3 : Comparaison Ratio Cooke / Ratio Mc Dounough Figure 4 : les grandes catégories de bâloises avec des exemples. Figure 5 : Attitudes Face au risque opérationnel Figure 6 : vision d’ensemble du dispositif de maîtrise des risques opérationnels Figure 7 : processus de la gestion des RO par la cartographie. Figure 8 : processus de collecte des incidents Figure 9 : les approches de calcul des FP selon la qualité de GR et le niveau de FP exigés Figure 10 : Organisation de la filière Risques Opérationnels Figure 10 : processus de préparation de l’entretien avec les experts de métier
Tableau 1 : Les événements de l’évolution de l’environnement bancaire marocaine Tableau 2 : Nombre
d’établissements
de crédit et organismes assimilés
Tableau 3 : Indicateurs d’activité et de rentabilité des banques Tableau 4 : Indicateurs d’activité et de rentabilité des sociétés de financement Tableau 5 : Indicateurs d’activité et de rentabilité des associations de micro -crédit Tableau 6 : Indicateurs d’activité et de rentabilité des huit groupes bancaires sur base consolidée Tableau 7 : Les chiffres clés du Groupe Banque Populaire Tableau 8 : Les lignes de métier et les coefficients Tableau 9 : Les missions des acteurs de gestion risques opérationnels Tableau 10 : La typologie des contrôles Tableau 11 : Les éléments de dispositif de maîtrise des risques et les catégories des risques opérationnels
-8-
Les turbulences financières qui ont secoué les marchés financiers internationaux en général et celui marocain en particulier, ont mis en évidence certaines faiblesses dans la gestion et l'audit des risques au sein des établissements bancaires. Cette gestion longuement assimilée à une simple conformité à des règles prudentielles s'est révélée inefficace dans la mesure où celle-ci s’est limitée pour la plupar t au respect d'un ensemble d'indicateurs plutôt généraux tout en laissant passer sous silence un aspect fondamental de la gestion des risques bancaires : l'implication du top management et du conseil d'administration dans le contrôle des organisations bancaires. En outre, le secteur bancaire est marqué par plusieurs évolutions qui se marquent au niveau de la rapidité de renouvellement des processus, l'automatisation accélérée des traitements ainsi que par la technicité et la diversité croissante des produits. Les risques auxquels les banques sont confrontées sont devenus plus nombreux, plus significatifs et plus complexes. Ces mutations augmentent les difficultés d’analyse et de contrôle des risques, de protection des investisseurs et de transparence des marchés. L ’exigence à la gestion des risques et à l’organisation des établissements bancaires sont aussi toujours plus élevées. Ce qui accroisse le risque de contrôles inadaptés voir défaillants. L’importance croissante du risque opérationnel s’est largement concrétisée ces dernières années. Les pertes subies par les établissements bancaires au titre du risque opérationnel sont en évolution croissante. A titre d’exemple « Le président de la Bourse de Tokyo, Takuo Tsurushima, a annoncé son intention de démissionner à la suite de cette faute. Une erreur au moment du passage d'un ordre d'achat pourrait coûter 40 milliards de yens (280 millions d'euros) à Mizuho Securities. La société de courtage, filiale de la banque Mizuho Financial Group, a émis une commande, jeudi 8 décembre, mentionnant l'achat de 610 000 titres J-com, pour 1 yen par action. En réalité, l'ordre devait porter sur l'acquisition d'un titre unique à 610 000 yens (4 256 euros) de la société de services multimédia, dont c'était, jeudi, le premier jour de cotation à la Bourse de Tokyo.». 1 Bien que les risques soient aussi anciens que la banque, la notion de risques opérationnels est quant à elle plus récente. En réalité, c’est une prise de conscience de la gestion des risques opérationnels qui s’accroît, d’où la problématique pour le régulateur d’ériger un cadre
1
Mesmer Philippe.Le MONDE 14 décembre 2005.
-9-
réglementaire adapté à cette nouvelle notion. Ainsi est né le nouvel accord Bâle II, qui impose aux établissements bancaires de maîtriser leurs risques opérationnels. Le risque opérationnel n’est pas un risque nouveau, il est géré depuis de nombreuses années par les établissements bancaires. La place des risques opérationnels a évolué vis à vis de la réglementation, puisqu’une existence propre leur est désormais accordée par le nouvel accord international sur la réglementation bancaire, dit « Bâle II ». Les nouveautés de Bâle II consistent essentiellement à fournir une nomenclature du RO et à demander aux banques une exigence en fonds propres spécifique pour couvrir ce risque. L’objet du présent travail est de répondre à la question fondamentale suivante : « Quel est le degré de conformité des pratiques de GRO à la BP par rapport aux au dispositif réglementaire de BAN AL-Maghrib ? ». Cette dernière question est composée de trois questions : 1) Quels sont les fondamentaux de gestion du risque opérationnel selon Bâle II ? 2) Quel est l’état d’avancement de projet de GRO à la BP par rapport au dispositif réglementaire bâlois ? 3) Quels sont les écarts constatés, et les mesures à prendre pour rétablir la situation ?
- 10 -
Chapitre I Présentation Générale du Secteur bancaire Marocain et de La Banque Populaire
- 11 -
e secteur bancaire joue un rôle prépondérant dans l'économie marocaine. Il a connu diverses réformes qui en font aujourd'hui un système moderne, adapté aux besoins de la société comme à ceux des entreprises. Tous les services et produits bancaires modernes sont proposés par les principales banques du pays. En effet, le secteur bancaire marocain est devenu moderne et efficace, avec une forte présence des banques françaises. Aujourd'hui, dix-neuf banques possèdent une licence d'exploitation mais seulement sept banques contrôlent le marché. Le principal acteur est constitué par le réseau public des Banques Populaires. Ce chapitre s’articulera ainsi autour de deux sections
Un aperçu sur le secteur bancaire Marocaine et ses caractéristiques ;
La deuxième portera sur le Groupe Banque Populaire ; son organisation.
Section 1 : Aperçu sur le secteur Bancair e M arocain : e secteur marocain financier inclut des banques, des sociétés de crédits à la consommation, des sociétés de crédits bail, des sociétés de courtage, des fonds de pension et des sociétés d'investissement. La taille du secteur financier est relativement grande à juger par le total des actifs et aussi Le système est en grande partie concentré sur le financement de l’économie domestique.
1. Réformes et évolutions du système bancaire marocain :
Le secteur financier a connu depuis le début des années 90 une libéralisation progressive qui s’est déroulée en deux étapes 2:
la première série de réformes, lancée au début des années 90, visait essentiellement le secteur bancaire (1991-1995),
la deuxième phase des réformes, initiée au milieu des années 90, portait davantage sur le marché des capitaux tout en poursuivant les mesures de libéralisation du secteur bancaire (1996).
Pendant ces années les principales réformes mises en pratique ont porté sur la refonte du cadre législatif de l'activité des établissements de crédit par l'adoption en 1993 d'une nouvelle Loi Bancaire, la suppression progressive des emplois obligatoires (Plancher d’effets Publics), l’élimination de l'encadrement du crédit, la libéralisation des taux d’intérêt et le renforcement de la réglementation prudentielle des banques en s’inspirant des normes internationales. 3
2
SOLHI S. A. (16-18 décembre 2006) « Libéralisation financière et croissance économique au Maroc : essai de modélisation » ; 13th annuel conférence ERF, OIL. 3 FIGUIGUI B. A. (2007) L’audit systémique, un outil d’efficacité du risk management, Mémoire ISCAE. - 12 -
Plus récemment, la refonte des nouveaux statuts de Bank Al-Maghreb en janvier 2005 et la nouvelle loi bancaire en février 2006 ont renforcé les prérogatives de la Banque Centrale dans le domaine de la supervision bancaire et de la politique monétaire. L’intermédiation financière des banques marocaines s’est développée par rapport à la taille de l’économie, mais à un rythme qui assure la stabilité financière des principales banques commerciales. Avec la réduction de la présence de l’Etat dans le système ba ncaire, une part importante des crédits est destinée au financement du secteur privé. Néanmoins, la croissance relative des crédits à moyen et long terme et de l’épargne bancaire à terme ne s’est pas sensiblement améliorée. Le financement du Trésor continue de représenter une partie non négligeable des emplois du secteur bancaire. 4 Le tableau suivant retrace les différentes étapes d’évolution de l’environnement bancaire marocain : (Tableau 1 : les événements de l’évolution de l(environnement bancaire marocaine.) Année 1906
Evénement Institution de la banque d’Etat au Maroc
1911
La banque d’état du Maroc a pris en charge la frappe des pièces de monnaie en argent de type-hassani-et l’émission des premiers billets de banque Il a été décidé de démonétiser les espèces hassani et de les remplacer par les billets et pièces en franc marocain La parité avec le franc français a été assurée à partir de décembre 1921 Promulgation du premier dahir relatif à la réglementation et à l’organisation de la profession bancaire
1920 1943 1959
Création de la banque du Maroc, Institut d’émission purement national, par Dahir N°1.59.233, en remplacement de la Banque d’Etat du Maroc.
1967
Promulgation du décret royal N°1-67-66 du 21 Avril portant loi relatif à la profession bancaire et au crédit.
1969
Institution du ratio de solvabilité minimum par le Ministère des Finances.
1987
Changement de dénomination social : Bank Al Maghreb au lieu de la Banque du Maroc.
1988 1989
Adoption du ratio Cooke (Bâle I). Création de Bank Al Amal, Banque chargée d’octroyer des prêt s participatifs ou subordonnés. Création de Dar AD DAMANE comme organe de garantie des crédits.
1992 1993
Promulgation du dahir N°1-91-131 du 26 février 1992 relatifs aux banques OFF-SHORE. Promulgation du DAHIR portant loi N°1-93-147 du 06 juillet 1993 relatif à l’exercice de l’activité des établissements de crédit et de leur contrôle.
20052006 2006
Adoption de la loi n°34-03 relatives aux établissements de crédit et organismes. Adoption des nouveaux statuts de Bank Al Maghreb loi N°76-03.
Source : Mohammed Skaita et Najib Sajid, Année (2008), « la gestion du risque de crédit : cas Attijariwafa Bank », Mémoire ISCAE.
4 FIGUIGUI B. A. (2007) L’audit systémique, un outil d’efficacité du risk management, Mémoire ISCAE. - 13 -
L'ensemble de ses composantes, qu’il s’agit de la politique monétaire, le financement du Trésor, les marchés de capitaux, la réglementation des changes sont touchés par l’ensemble de réformes qu’a connu ce secteur a un certain nombre d'établissements bancaires ont été ainsi placé au centre de cette dynamique de réforme, compte tenu de son rôle clef en matière de renforcement de la croissance et d'accélération du processus de convergence. Etant la composante principale du système financier marocain, le système bancaire est considéré aujourd'hui comme un pilier solide de l'économie nationale, il présente un degré de diversification similaire à celui des pays dotés d'un niveau de développement financier plus élevé.
2. Chiffres-clés du système bancaire : 2.1
Structure du système bancaire 5
- Tableau 2 : Nombre
d’établissements
de crédit et organismes assimilés
:
83
•
Banque
:
19
•
Sociétés de financement
:
36
•
Banques offshores
:
6
•
Associations de micro-crédit
:
12
•
Sociétés intermédiaires en matière de transfert de fonds
:
8
•
Autres établissements
:
2
-Réseau : •
Au Maroc : 4.787 agences, dont 943 guichets pour Al Barid Bank, soit un guichet pour 6.600 habitants.
•
A l’étranger : 19 filiales, 75 agences et succursales et 57 bureaux de représentation.
•
Guichets automatiques bancaires : 4.545.
- Effectif des établissements de crédit et organismes assimilés : 42.000 environ.
5 Rapport d’activité annuel de BANK ALMAGHRIB 2010 - 14 -
2.2 Indicateurs d’activité et de rentabilité des banques 6 : (Tableau 3)
(Montants en milliards de dirhams)
Total bilan Crédits par décaissement (nets de provisions) Dépôts de la clientèle Capitaux propres (hors bénéfice
de l'exercice)
Produit net bancaire
Résultat brut d’exploitation Résultat net Rendement moyen des emplois Coût moyen des ressources Coefficient moyen
d’exploitation
Rentabilité des actifs (ROA) Rentabilité des fonds propres (ROE)
Taux des créances en souffrance Taux de couverture des créances en souffrance par les provisions
2008
2009
2010
764 499 572 55 27,2 14,6 8,6 5,11% 1,93% 47,8% 1,2% 16,7% 6,0% 75,3%
828 552 601 63 30 16,5 9,2 5,18% 2,05% 47,5% 1,2% 15,2% 5,5% 74,1%
859 601 622 73 32,8 17,9 9,7 5,18% 1,93% 46,3% 1,2% 14,2% 4,8% 70,1%
Source : Rapport d’activité annuel de BANK ALMAGHRIB 2010
2.3 Indicateurs d’activité et de rentabilité des sociétés de financement (Tableau 4) (Montants en milliards de dirhams)
2008
2009
2010
Total bilan
74,3
81,2
84,6
Crédits par décaissement (nets de provisions)
67,2
73,9
78,6
4,1
4,4
4,6
2,6
2,8
2,9
1,5
1,3
1,1
9,1%
9,5%
10,0%
1,9%
1,6%
1,4%
22,4%
18,4%
14,0%
net bancaire Résultat brut d’exploitation Résultat net Taux des créances en souffrance Rentabilité des actifs (ROA) Rentabilité des fonds propres (ROE) Produit
Source : Rapport d’activité annuel de BANK ALMAGHRIB 2010
2.4 Indicateurs d’activité et de rentabilité des associations de micro-crédit (tableau 5) (Montants en milliards de dirhams)
2008
2009
2010
Total bilan
6,9
6,2
5,7
Encours de credits
5,7
4,8
4,7
5,3%
6,4%
6,2%
0,03
-0,12
0,03
Taux des créances en souffrance Résultat net
Source : Rapport d’activité annuel de BANK ALMAGHRIB 2010
6Sur la base de leur activité au Maroc et hors Al Barid Bank qui n’a bénéficié du transfert effectif des services financiers de Barid Al-Maghrib qu’à partir de décembre 2010.
- 15 -
2.5 Indicateurs d’activité et de rentabilité des huit groupes bancaires sur base consolidée (Tableau6) (Montants en milliards de dirhams)
Total bilan Crédits par décaissement à la clientèle (nets de provisions) Dépôts de la clientèle Capitaux propres-Part du groupe Produit net bancaire Résultat brut d’exploitation Résultat net-Part du groupe Coefficient moyen d’exploitation Rentabilité des actifs (ROA) Rentabilité des fonds propres (ROE)
2008
2009
2010
799
878
930
498
568
625
578
621
652
61
69
80
34
38
43
17,7
20
22
9,4
9,3
10,5
48,0%
47,6%
47,7%
1,2%
1,1%
1,1%
15,5%
13,6%
13,1%
Source : Rapport d’activité annuel de BANK ALMAGHRIB 2010
3. catégories d’établissements Bancaires : 7
Banques de dépôts classiques :
Parmi lesquelles on trouve les cinq grandes banques privées qui réalisent près des deux tiers de la collecte des dépôts bancaires, à savoir : Attijariwafa Bank, la Banque Marocain du Commerce Extérieur (BMCE) et les trois filiales françaises, en l’occurrence la SGMB, la BMCI et le Crédit du Maroc.
Le Crédit Populaire du Maroc (CPM) :
Leader historique du secteur, est constitué de la Banque Centrale Populaire (BCP) et son réseau de Banques Régionales Populaire (BPR). Organisme public, particulièrement concerné par la collecte de la petite épargne et la distribution de crédits aux PME, la BCP est devenue une société anonyme en février 2002. Elle est engagée depuis cette date dans un processus de privatisation.
Anciens organismes financiers : (spécialisés dans le financement de secteurs d’activités particuliers)
Il s’agit du Crédit Immobilier et Hôtelier (CIH), du Crédit Agricole du Maroc (CAM) et de la Banque nationale pour le développement Économique(BNDE), qui sont engagés dans un processus de restructuration et d’assainissement : • Le CAM s’est pourvue de nouveaux statuts publiés en décembre 2003, qui prévoient des
conventions avec l’État concernant les activités requérant un soutien spécifique, en particulier pour les petites et moyennes exploitations agricoles.
7 « Le secteur bancaire au Mar oc » fiche de synthèse, missions économiques, MINEFI-DGTPE, 07 décembre 2005.
- 16 -
• La BNDE a été reprise en 2003 par la CAISSE DE DÉPÔT ET DE GESTION (CDG,
établissement public aux missions proches de celles de la CAISSE DE DÉPÔTS ET DE CONSIGNATION française). • Le CIH est passé sous le contrôle de la CDG. Une prise de participation par le groupe des
CAISSES D’ÉPARGNE FRANÇAISES est en cours.
Autres banques spécifiques:
La création de ces banques répond à des besoins spécifiques c’est le cas du : Bank AL AMAL, pour le financement de projets d’investissement des Marocains résidant à l’étranger, Mediafinance et Casablanca Finance Markets qui interviennent sur le marché des titres négociables de la dette, Le Fonds d’équipements Communal (FEC) dédié au financement des collectivités locales. On guise de conclusion de cette section et ce qu’il faut retenir, c’est qu’en 2006, la promulgation de la nouvelle loi bancaire apporte deux éléments fondamentaux sont : De nouvelles règles prudentielles dans le cadre de Bâle II qui sont plus qualitatives et spécifiques et qui nécessitent le recours à de nouveaux profils en matière de ressources humaines et à des moyens techniques sophistiqués. De l’autonomie de la banque centrale, seule institution chargée de veiller à la régulation et à la surveillance du système bancaire et de conduire la politique monétaire.
Section 2 : Pré sentati on du Gr oupe de la Banque Populaire 8 : e Groupe Banque Populaire occupe une position importante dans le système bancaire marocain dont il gère l’actif le plus important. C’est la banque la plus capitalisée grâce notamment á l’apport de l’Etat.
1. Historique : Introduit au Maroc par le Dahir du 25 mai 1926, le modèle organisationnel et commercial du Groupe est fondé, dès l’origine, sur les concepts de mutualité et de coopération. Les premières Banques Populaires de type coopératif et à vocation régionale, furent crées, dès la fin des années 20 du siècle dernier, dans les principales villes du Royaume. Au lendemain de l’indépendance, les pouvoirs publics ont procédé, dans le cadre de la mise en place des premiers jalons du système bancaire et financier marocain, à la refonte du Crédit Populaire du Maroc (CPM), à travers le Dahir du 28 février 1961, en le dédiant au développement de l’artisanat et de la PME/ PMI. Cette réforme a également renforcé le modèle organisationnel du CPM, basé désormais sur l’existence de Banques Populaires Régionales, 8 Livret d’accueil de la Banque Populaire 2010.
- 17 -
d’une entité centrale : la Banque Centrale Populaire, et d’une instance fé dératrice : le Comité Directeur du CPM. Depuis 1990 le Groupe a fait l’objet de plusieurs restructurations 9:
1990 : Le Groupe monte en puissance, développe ses activités et met en place de nouveaux produits et services à des conditions tarifaires avantageuses, pour devenir leader sur les marchés des particuliers, des PME et des MDM ainsi que dans les activités de marché. A partir de 2000 : le Groupe a connu, une réforme du Crédit Populaire du Maroc, une valorisation de la dimension régionale des BPR, et un élargissement des prérogatives du Comité Directeur;
2004 : Introduction en Bourse de la Banque Centrale Populaire. 2007 : Durant cette année, plusieurs évènements institutionnels ont marqué la vie du Groupe, dont les principaux faits marquants sont :
Obtention du passeport européen dans le cadre du redéploiement stratégique de la BCDM
Lancement du fonds d’investissement Moussahama II, doté d’un capital initial de 200 Mdhs, destiné au financement des entreprises à fort potentiel ;
Lancement du Fonds d’Investissement de la Région de l’Oriental ;
Participation, aux côtés d’institutionnels nationaux et étrangers, à plusieurs fonds d’investissement (AM Invest, SGAM Kantara Morocco…) ;
Participation au compartiment Maghreb du fonds d’investissement AlterMed dédié aux PME en association avec «Viveris Management», doté d’un montant de 21 M d’euros ;
Acquisition de Chaabi Courtage, une société spécialisée dans l’intermédiation en assurance et réassurance ;
Renouvellement de la notation « BB+ / stable / B » attribuée par l’agence de rating Standard & Poor’s ;
Certification des activités crédits et remises documentaires ISO 9001 version 2000 ;
Obtention de la note Alpha, tendance positive en faveur de la Fondation Banque Populaire pour le Micro-Crédit attribuée par l’agence de rating « Micro Rate » ;
Pilotage de l’opération de cession de 4% du capital d’IAM ;
Participation au syndicat de placement de l’émission « Eurobond » du Maroc d’ un montant de 500M d’euros.
2008 : Durant cette année, plusieurs évènements ont marqué, parmi ces évènements :
La réorganisation des activités du CPM par marché
Redéploiement stratégique à l’international
Extension du réseau commercial en Europe
9 Livret d’accueil de la Banque Populaire 2010
- 18 -
Accord de partenariat avec la BRED Banque Populaire ;
Conclusion d’un partenariat stratégique avec l’OCP via une prise de participation croisée
Conclusion d’un protocole d’accord visant le regroupement des activités de banque d’investissement du Groupe Banque Po pulaire au sein de Upline Group.
Augmentation du capital de la BCP réservée au personnel du CPM Promulgation du Dahir du 20 octobre 2008,
Renouvellement par l’agence de notation Standard and Poor’s de la note de contrepartie du Groupe pour la cinquième année consécutive (BB+ à long terme et B à court terme avec des perspectives de développement stables)
2009 :
Concrétisation du partenariat stratégique avec le groupe OCP à travers une prise de participation croisée;
Acquisition de 100% d’Upline Group et regroupement des activités de banque d’investissement ;
Prise de participation majoritaire de 53,11% dans le capital de Maroc Leasing ;
Absorption de la fondation Zakoura par la fondation Banque Populaire pour le microcrédit ;
Prise de participation conjointe avec Attijariwafa Bank dans le capital de BNP Paribas Mauritanie ;
Acquisition par la BCP de participations dans des Banques Internationales : British Arab Commercial Bank (Royaume-Uni), Union des Banques Arabes et Françaises (France) et Arab Italian Bank (Italie).
2010:
Concrétisation de la prise de participation de la Banque Centrale Populaire dans des Banques internationales : British Arab Commercial Bank Royaume-Uni), Union des Banques Arabes et Françaises (France) et Arab Italian Bank (Italie) ;
Obtention de l’Investment Grade, attribué par Standard and Poor’s au Groupe Banque populaire, rating « BBB-/A-3 avec des perspectives stables » ;
La Banque Centrale Populaire consolide les comptes des organismes du Crédit Populaire du Maroc et de leurs filiales, suite aux amendements de la loi n° 44-08 modifiant et complétant la loi 12-96 : le Groupe BCP intègre désormais les Banques Populaires Régionales, en plus de la BCP et de leurs filiales ;
Fusion de la Banque Centrale Populaire et la Banque Populaire de Casablanca, faisant du nouvel ensemble un important pôle financier sur la place de Casablanca. - 19 -
2. Le groupe Banque Populaire en Chiffres-clés 10(Tableau 7) 2010 INDICATEURS FINANCIERS CONSOLIDÉS (En Milliards de MAD) Total bilan Fonds propres consolidés Produit Net Bancaire Résultat Net consolidé
2009
215,2
2008
208,0 25,3 9,0 2,9
187,0 20,9 8,1 2,8
102,0 67,8 194,3
163,2 98,5 64,7 187,3
153,1 91,9 61,2 161,2
146,1
133,2
111,1
27,1 10,0 3,1
INDICATEURS D’ACTIVITÉ COMMERCIALE (En Milliards de MAD et en nombre)
Dépôts de la clientèle Clientèle locale Clientèle MDM Emplois dont : Créances sur la Clientèle Portefeuille Titres Agences bancaires Guichets automatiques bancaires Car tes monétiques Nombre de clients PARTS DE MARCHÉ Dépôts de la clientèle
169,8
Crédits à l’économie AUTRES INDICATEURS (En Nombre) Sociétaires Effectif Banques Populaires Régionales Fondations Filiales spécialisées Banques à l’international
23,2%
38,0
948 1 068 2 282 000 3 430 000 27,0%
Banques Offshore Points de présence microcrédit (*) Bénéficiaires actifs des Micro-Crédits *
38,3 34,3 850 745 926 803 1 658 000 1 293 3 138 000 2 864 26,9 %
26,5%
23,0
22,3%
419 000 10 660 10 3 10 3
477 000 10 076 11 3 10 3
467 9 068 11 3 11 3
1 217 193 974
1 219 146 566
1 222 177
Source : le rapport d’activité annuel 2010 du Groupe Banque Populaire.
PRINCIPAUX RATIOS
Ratios d’activité Coefficient d emploi Ratios de gestion Coefficient d exploitation Ratios de risque Ratio minimum de solvabilité Coefficient de division des risques (en MMAD ) ’
84,6%
81,3%
76,1%
’
45,8%
46,9%
44,3%
13,43%
13,36
11,63%
5 132
4 864
3 409
3,3%
3,3%
3,4%
Taux de créances en souffrance (*) Indicateurs hors Fondation Zakoura
Source : le rapport d’activité annuel 2010 du Groupe Banque Populaire.
10 Le rapport d’activité annuel 2010 du Groupe Banque Populaire.
- 20 -
Le Groupe Banque Populaire a enregistré au titre de l’exercice 2010 d’excellents résultats, confirmant ainsi sa position d’acteur de référence dans le paysage bancaire. RESULTAT
NET CONSOLIDE: +6% à 3,1 MILLIARS DE MAD : Le résultat net du
Groupe BCP a enregistré une progression de 67% à 1,77 MMMAD. Le bénéfice net par action se situe à 26 ,7 MAD, en hausse de 66%. PRODUIT
NET BANCAIRE : +12,1% 10 MILLIARS DE MAD : Suite à une solidité
récurrente de la contribution de l’ensemble des métiers aux résultats du Groupe, le produit net bancaire s’est établi à 10 MMMAD en progression de 12,1%, avec une évolution satisfaisante de ses composantes : activité de marché : +29,4%, marge sur commissions : +13,1% et marge d’intérêt : +11,1%. COEFFICIENT
D’EXPLOITATION : -1,1 POINT A 45,8% : Le coefficient d’exploitation
s’est élevé à 45,8% en baisse de 1,1 point, traduisant l’amélioration de
l’efficacité
opérationnelle du Groupe, dans un contexte marqué par le lancement de projets structurants et la réalisation d’investissements au service de la politique d’extension du réseau de proximité. FONDS
PROPRES CONSOLIDES : +7,2% A 27 ,1 MILLIARDS DE MAD : Les fonds
propres consolidés se sont situés à 27,1 MMMAD en accroissement de 7,2%, conférant au Groupe une assise financière solide pour poursuivre sa stratégie de développement. COLLECTE
DES DEPÔTS : +4,1% A 168 MILLIARDS DE MAD : Les dépôts de la
clientèle ont crû de 4,1% à 168 MMMAD. Cette progression, supérieure à celle du secteur bancaire, a permis de consolider le leadership du groupe dans la mobilisation de l’épargne, avec une part de marché de 27%( +0,17 point). Une telle performance est en droite ligne avec la stratégie de croissance organique du Groupe, vecteur de sa mission de bancarisation. En effet, le réseau de proximité Banque Populaire s’est développé pour atteindre 948 agences et 1068 GAB, soit la couverture la plus dense du secteur bancaire, avec un maillage au service de l’inclusion financière des populat ions les plus larges. Ces points de vente distribuent l’offre banque Populaire à plus de 3,4 Millions de clients. Sur le marché des Marocains du Monde, le Groupe a consolidé sa position historique, avec une part de marché de 53,4% et un volume de dépôts de 67,8 MMMAD, performance portée notamment par la diversification des canaux de transferts et la politique de proximité engagée dans les pays d’accueil.
3. Missions : Le Crédit Populaire du Maroc est un groupement de banques constitué par la Banque Centrale Populaire et les Banques Populaires Régionales. Son objectif d’accompagner toutes entreprises moyennes ou petites, artisanales, industrielles ou de services par la distribution de crédit à court, moyen et long terme. Il propose une série de produits financiers répondant à l'ensemble des - 21 -
besoins de sa clientèle. Il développe également ses activités à travers quatre orientations stratégiques majeures :
La consolidation des positions acquises : Ce point examine l’évolution des activités d’intermédiation et de marché du groupe. Le GBP utilise une stratégie volontariste d’extension de ses points de vente, de la collecte de ressources pour l’amélioration de ses activités bancaires. Cette stratégie constitue une nouvelle approche de la banque populaire dans ses relations avec la clientèle des entreprises.
La banque citoyenne Le GBP est l’accompagnateur financier de la région à travers la mobilisation de l’épargne, son utilisation au niveau local, au bénéfice des acteurs économiques et sociaux. Dans le cadre du plan de développement du groupe, l’implication reste effective et très prononcée en matière de bancarisations de la population qui reste encore à un niveau très faible au Maroc mais cela est faisable avec la politique de la proximité et de la souplesse dans les ouvertures de compte et d’encouragement les porteurs des projets. L’amélioration des performances : Le GBP se base sur l’amélioration de :
La rentabilité financière qui est le fruit des résultats net de l’ensemble du groupe
Le développement du produit net bancaire et le développement de l’exploitation.
La productivité qui s’amélior e avec l’automatisation poussée par des opérations effectuées au niveau des agences.
La commission qui connait une évolution moyenne de 10 %.
La maitrise des risques qui résulte de la solvabilité, la liquidité, la division des risques et qui tendent à maintenir sa tendance d’afficher les meilleurs facteurs des secteurs cités.
La conquête de nouveaux territoires et la croissance externe Le GBP compte faire évoluer ses indicateurs de performances telles que la rentabilité, la productivité, les commissions ainsi que la maitrise des risques ; pour ses activités la GBP s’étendent à la bancassurance.
4. Structure et organisation du CPM : Le Crédit Populaire du Maroc (CPM) est une institution ayant une organisation à trois(03) dimensions, représentant chacune une composante de la structure du Groupe :
Fédérale, incarnée par le Comité Directeur
Capitalistique, représentant la Banque Centrale Populaire
Et Coopérative, groupant les Banques Populaires Régionales
- 22 -
LE
COMITE DIRECTEUR : DIRECTEUR : C’est l’instance l’instance suprême suprême du Crédit Crédit Populaire du Maroc Maroc
exerçant exclusivement la tutelle sur les différents organismes du CPM. Le Comité Directeur comprend :
Cinq présidents des conseils de surveillance des Banques Populaires Régionales élus par leurs pairs
Cinq représentants représentants du Conseil d’Administration de la Banque Centrale Populaire, nommés nommés par ledit Conseil.
Le Président du comité Directeur est élu parmi les membres du Comité et sa nomination est ratifiée par le Ministre Mi nistre chargé des Finances.
La mission du Comité Directeur consiste à :
Définir les orientations stratégiques du Groupe
Exercer un contrôle administratif, technique et financier sur l’organisation et la gestion des organismes du CPM
Définir et contrôler les règles de fonctionnement communes au Groupe
Prendre toutes les mesures nécessaires au bon fonctionnement des organismes du CPM et à la sauvegarde de leur équilibre financier.
La BANQUE CENTRALE POPULAIRE : (BCP) est un établissement de crédit, sous forme de société anonyme à Conseil d’Administration. La BCP, qui assure un rôle central au sein du Groupe, Groupe, est investi de deux deux missions principales :
Etablissement de crédit habilité à réaliser toutes les opérations bancaires.
Organisme central bancaire des BPR.
LES BANQUES POPULAIRES REGIONALES (BPR) : leurs leurs missions est de contribuer au développement de leur région par la diversité des produits qu’elles offrent, le financement de l’investissement et la bancarisation de l’économie. Elle s constituent aussi le levier du Crédit Populaire du Maroc dans la collecte de l’épargne au niveau régional, sa mobilisation et son utilisation dans la région où elle est collectée.
L’ORGANISATION : Les Les Banques Populaires sont organisées sous la forme coopérative à capital variable, à Directoire et à Conseil de Surveillance. Leur mode d’organisation unique au sein du système bancaire leur permet d’approcher différemment leurs clients, puisque ces derniers se trouvent également être les détenteurs du capital , formant ainsi ce que l’on appelle « le sociétariat ». - 23 -
L’organigramme de la Banque Centrale Populaire :
Toutefois, la BCP ne peut intervenir directement dans les circonscriptions territoriales où les Banques Populaires exercent leurs activités, qu'en accord avec la BPR concernée. En cas de conflit, le Comité Directeur statue. Plus généralement, la BCP peut effectuer toutes les opérations bancaires, financières, commerciales, industrielles, mobilières et immobilières pouvant se rattacher rattacher directement directement ou indirectement à son son objet social. La structure du Groupe Banques Populaires, qui se caractérise par l’existence des banques régionales, parfaitement autonome chose inexistante pour les autres banques. C’est C’est un concept de décentralisation très répandu dans les pays développés. Ceci a permis au Groupe Populaire de jouer son rôle de moteur de croissance dans toutes les régions du Maroc et de se placer au premier rang du système bancaire national en termes de dépôts, étendue du réseau, crédits á l’économie et clientèle. - 24 -
Chapitre II Approche Conceptuelle Conceptuelle de la gestion gestion des risques opérationnels
- 25 -
L’objet du chapitre suivant est de présenter plus explicitement une approche conceptuelle de gestion du risque opérationnel, ses outils de gestion et les accords qui régissent le risque opérationnel avant de traiter son gestion au sein du Groupe Banque Populaire. Devant un environnement économique et financier caractérisé par des crises financières récurrentes, une concurrence accrue dans de très nombreux secteurs, une ouverture croissante sur l'extérieur, des innovations financières et technologiques, et une forte volatilité des variables du marché, les banques et les institutions financières se trouvent aujourd’hui entourées de multiples risques. Aujourd’hui, la banque ressemble à une « machine à risques ». Elle prend des risques, les transforme et elle les incorpore aux services qu'elle offre. L a recherche et la mise en place d’un dispositif prudentiel pour la gestion et le pilotage des risques en l’occurrence le dispositif Bâle II s’avère ainsi d’une ultime importance. Ce chapitre est constitué de deux parties : un rappel du ratio Cooke et de ses insuffisances et les apports de Bâle II en matière de pilotage des risques au niveau de ses trois piliers. une présentation des notions de base liées au risque opérationnel bancaire et sa gestion, ainsi ses outils et ses approches de mesure selon la réglementation bâloise.
Secti on 1: les accords de Bâle et l a r é glementation mar ocaine : n effet, dans tous les pays, les banques sont exposées a des risques de plus en plus diversifies. Elles ont engagé depuis une quinzaine d ’années des réflexions sur leurs risques. De leur côté les autorités des principaux pays, réunies au sein du comité de Bale ont lancé depuis quelques années des consultations avec la profession bancaire. Leur objectif est de déterminer une nouvelle définition des exigences de fonds propres. Ces consultations ont abouti en juin 2004, un nouvel accord appelé "Bale II" s’appliquera aux banques du G10 a vocation internationale. Apres avoir conclu cet accord, le Comite de Bale a commencé à réfléchir à l’application de Bale II dans les pays qui ne sont pas membre du G10. Le comité de Bale s ’attend en effet à ce que l’accord Bale II soit progressivement adopté dans la majorité des pays comme c’est le cas pour l’actuel ratio Cooke (Bale I) adopté en 1988 et appliqué dans une centaine de pays.
- 26 -
1. le ratio Cooke : 11 Le ratio prudentiel Cooke 12, crée en 1988, est destiné destiné à mesurer la solvabilité des banques (et établissements assimilés). Il a été élaboré par un comité, réuni à Bâle, composé des banques centrales et des autorités de surveillance des 10 pays siégeant auprès de la B.R.I (Banque des Règlements Internationaux). Au niveau européen, on le nomme « ratio de solvabilité ». Le calcul est effectué d’après le rapport entre les fond s propres (capital pur), les quasi fonds propres (réserves +certaines provisions + titres subordonnés) et l’ensemble des engagements, pondérés selon la nature de l’emprunteur. Le ratio Cooke doit respecter 2 exigences :
(fonds propres + quasi fonds propres)/ ensemble des engagements > 8%
Fonds propres / ensemble des engagements > 4%
Au fil des années, cette version du ratio a montré quelques limites :
Inadaptation des pondérations forfaitaires face aux bouleversements qu’a connus la sphère financière depuis 10 ans : explosion des activités de marchés, mise en place de nouvelles technologies accélérant la circulation de l’argent, naissance de nouveaux instruments, sophistication juridique des acteurs, etc.
Non prise en compte du capital économique plus adapté pour mesurer les risques réels que le simple capital réglementaire.
Non prise en compte du risque opérationnel. Mauvaise prise en compte des risques souverains démontrés par les récentes crises de certains pays émergents.
Des discussions ont alors été engagées en vue d’une réforme du mode de calcul du ratio Cooke.
2. La réforme Mc Donough/Bâle II : 13 La réforme Bâle II ne change pas l’esprit de l’accord initial Cooke, mais l’enrichit, afin de permettre une gestion plus fine des risques en phase avec la réalité économique. Son échéance a été fixée au 31 décembre 2006 (figure 3). La réglementation Bâle II s’articule autour de trois piliers (figure 1):
Le pilier 1 traite les exigences minimales de fonds propres via la mise en place d’un
ratio prudentiel dit Mc Dounough(figure 2) ( 14). Celui-ci remplace le ratio Cooke. Il impose 11Dov Ogien, comptabilité et Audit Bancaires, 2e édition, DUNOD, 2008, Page 391. 12 Le ratio porte le nom du président du comité de Bâle de cette époque. 13 Dov Ogien, comptabilité et Audit Bancaires, 2e édition, DUNOD, 2008, Page 409.
- 27 -
aux institutions financières de mobiliser une partie de leurs fonds propres en couverture de leurs expositions aux risques de marché, aux risques de crédit et aux risques opérationnels :
La prise en compte du risque opérationnel et sa couverture en fonds propres est une des principales nouveautés de l’accord de Bâle II. Cela impose aux établissements financiers d’importants travaux de recherche (modélisation) d’une part, et de mise en œuvre d’autre part (ex : constitution d’une base « pertes » avec trois ans d’historique). La prise en compte du risque opérationnel dans le calcul du ratio prudentiel se justifie par l’importance des pertes liées au risque opérationnel dans les établissements de crédit. En moyenne, le risque opérationnel génère plus de pertes que le risque de marché : de nombreux métiers de la banque sont soumis à des forts risques opérationnels : fraudes, défaillances de processus sur des métiers de flux et de services : conservations de titres, paiements, ... Le
pilier 2 concerne la surveillance des procédures internes de mesure, de contrôle et de
gestion des risques. Il s’agit d’un changement réglementaire prof ond(le ratio Cooke ne comportait aucune exigence légale obligatoire en fonds propres au-delà du minimum réglementaire) : Ce pilier impose aux établissements financiers de mettre en place des fonctions, des outils des procédures de contrôle et de surveillance des risques en interne. L’impact pour les établissements financiers est d’autant plus important que les moyens actuels de surveillance prudentielle sont limités
Le rôle des régulateurs nationaux (commission Bancaire pour la France) est renforcé comme suit : Ils évaluent les mécanismes d’appréciation des exigences en fonds propres pour les établissements, notamment au titre des risques opérationnels. Ils ont le pouvoir d’augmenter l’exigence minimale de fonds propres pour les établissements qui présenteraient un système de gestion des risques insuffisant ou une exposition aux risques supérieure à la moyenne, notamment au titre des risques opérationnels. Enfin, pour l’instauration d’une discipline de marché, le pilier 3 impose aux
établissements financiers une communication régulière et transparente vers les marchés concernant la politique de la banque en matière de risques, le niveau de ceux-ci et la couverture des risques- de crédit, de marché et opérationnels-par les fonds propres.
14 William J. Mac Dounough a été président du comité de Bâle et de la Fédéral Reserve Bank of new York, jusqu’au 1er mai 2003.
- 28 -
Fi ure 1 : Architecture de la réforme Bâle II
Le ratio ne change pas l'assiette de calcul « fonds propres /risques ». Par contre, une ventilation du risque en fonction de sa nature sera exigée (Risque de crédit comptant pour 75%, Risque opérationnel pour 20% et le risque de marché pour 5%). Ce dispositif présente en effet deux importantes finalités :
Un meilleur alignement des exigences des fonds propres sur les risques sous-jacents : Abandonner le système de couverture forfaitaire imposé aux banques pour adopter une réglementation du capital propre minimal plus complète qui tienne mieux de l’ensemble des risques : Reconnaissance des systèmes de notation internes
La reconnaissance des techniques de réduction des risques (produits dérivés) ;
L’introduction du risque opérationnel dans l'exigence d es fonds propres.
Figure 2. Du ratio Cook au ratio Mac Donough BANK ALMAGHRIB a relevé le ratio de solvabilité à 10%, ce qui a pour effet de remplacer la pondération du risque opérationnel de 12,5 par 10. - 29 -
Ratio Cooke
Ratio Mc Dounough
Calcul du besoin en fonds propres
Calcul du besoin en fonds propres Contrôle du processus interne Transparence financière
Périmètre de contrôle
Risque crédit Risque de marché
Pondération forfaitaire
Une seule possible
approche
Risque crédit Risque de marché Risque opérationnel
Pondération forfaitaire Méthode de calcul interne
3 approches possibles pour le risque de crédit et le risque opérationnel
Périmètre de risque
Mesure du risque
Flexibilité
Figure 3 : Comparaison Ratio Cooke / Ratio Mc Dounough 3. La transposition de Bâle II au niveau Marocain15 : Pour la transposition de Bâle II, Bank Al Maghreb a adopté une démarche pragmatique et progressive qui tient compte de la structure du système bancaire et répond le mieux possible à ses besoins. Cette démarche est de nature à inciter à adopter les meilleures pratiques en matière de gestion des risques et est ouverte sur les différentes approches de calcul des exigences en fonds propres, proposées par le Comité de Bâle. Les travaux préparatoires de la mise en œuvre des dispositions du Nouvel accord ont été structurés dans le cadre de six commissions techniques mixtes constituées de représentants de Bank Al-Maghreb et des banques, avec la présence d’un représentant du Ministère des finances. Chacune de ces commissions techniques a été chargée de l’examen d’un aspect particulier du nouveau dispositif (risques de crédit, risques de marché, risques opérationnels, pilier 2, pilier 15 www.bkam.ma
- 30 -
3 et relation Bâle II et normes IFRS). Les travaux de ces commissions techniques se sont déroulés conformément au planning établi par Bank Al-Maghreb. Les propositions des commissions techniques sont validées par un comité de pilotage, composé de responsables de la Direction de la Supervision Bancaire et des Directions Générales des banques. L’adoption des approches standards au titre des risques de crédit, de marché et opérationnels par les principales banques marocaines est effective depuis le deuxième semestre de l’année 2007, conformément au planning prévu initialement. Les premiers reporting ont été réalisés sur la base des comptes arrêtés au 30 juin 2007 et au 31 décembre 2007. Il est à souligner que certaines banques continueront à adopter Bâle I aménagé pour l’intégration des risques de marchés pendant une période transitoire, mais devront toutes se conformer aux dispositions de Bâle II, selon des plans d’action établis en con certation avec Bank Al-Maghreb. La mise en œuvre du pilier II et du pilier III, dont le champ d’application est étendu à l’ensemble des banques, est déjà entamé d’une manière p rogressive depuis juin 2007. Les circulaires de Bank ALMAGHRIB relatives à la gestion des risques et spécialement au risque opérationnel sont comme suit : La
Circulaire de Bank Al-Maghreb N°40/G/2007 du 2 août 2007 relative au Contrôle interne
des établissements de crédit et organismes assimilés qui fixe les conditions dans lesquelles ces établissements doivent se doter d’un système de contrôle interne. Au niveau de cette circulaire, il y a le dispositif de mesure, de maîtrise et de surveillance des risques soit de crédit, de marché et opérationnel Circulaire
26/G/2006 : Exigences en fonds propres (risques crédit, marché et
opérationnels)16 : La circulaire n° 26/G/2006 relative aux exigences en fonds propres portant sur les risques de crédit, marché et opérationnels transpose les normes du nouvel accord sur les fonds propres publié en 2004 par le comité de Bâle, actualisé en novembre 2005. Cette circulaire définit les modalités de calcul des actifs pondérés au titre de ces risques ainsi que les exigences en fonds propres nécessaires à leur couverture. La
Directive N° DN29/G/2007 du 13 avril 2007 relative au dispositif de gestion des risques
opérationnels : Elle définit les risques opérationnels, décrit le système d’identification, de mesure, de suivi, de maîtrise et d’atténuation des risques opérationnels (Pilier I et Pilier II), et enfin, elle Fixe les modalités de contrôle du système de gestion des risques opérationnels et les reporting périodiques à adresser à BAM (Pilier III). (Source : Recueil des textes législatifs et réglementaires régissant l’activité des établissements de crédit et organismes assimilés, Bank AL-MAGHRIB, version 10-02-2012) - 31 -
Nous constatons donc le premier pilier du nouveau dispositif de fonds propres peut apporter de grands avantages en aidant les banques et les autorités de contrôle à gérer les risques et à renforcer la stabilité. En outre, la reconnaissance et la révision profonde du traitement du risque opérationnel, et son inclusion dans les exigences réglementaires constitue la grande nouveauté de l'accord de Bâle II.
Section 2:i dentification du risque opé rationn el : e risque opérationnel, concerne le fonctionnement interne de chaque établissement. La méthodologie unique d'action face à ce risque n’existe pas. Selon leurs buts de gestion et leurs modes d’organisation, les banques adoptent la définition du risque opérationnel qui représente mieux leurs distributions de perte. 17 Bien qu’il soit possible de retenir le référentiel réglementaire (Bâle II), i l sera souvent préférable de disposer d’un référentiel propre mieux adapté à ses spécificités et plus facile à faire accepter à tous les niveaux de l’entreprise. Selon les professionnels du secteur, la tendance qui s’est plutôt généralisée dans la plupart des établissements et de définir par grand processus les risques opérationnels qui y sont attachés. Il s’agit d’abord d’identifier les risques que l’on décide de suivre.
1.
Le risque opérationnel :
Les risques opérationnels ont suscité une attention particulière des travaux de comité de Bâle et dont la prise en compte constitue une des innovations de la réforme de Bâle II. Pour ce dernier : « Les risques opérationnels correspondaient aux risques de pertes directes et indirectes résultant de l’inadéquation ou de la défaillance de procédures, de personnes et de systèmes ou résultant d’événements extérieurs »18. Cette définition étant critiquée, car il est difficile de calculer certaines pertes indirectes. Le comité a donc proposé une autre définition, dans le document de travail de septembre 2001: «Les risques opérationnels se définissent comme le risque de pertes dues à une inadéquation ou à une défaillance des procédures, des personnels, des systèmes internes ou à des évènements extérieurs». Il
recouvre les erreurs humaines, les fraudes et les malveillances, les défaillances des systèmes d’information, les problèmes liés à la gestion du personnel, les litiges commerciaux, les accidents, les incendies, les inondations, …19
17 Jezzini M. doctorant ; Revue de la littérature : risque opérationnel :, janvier 2005 18 Commission européenne « Deuxième document consultatif des services de la commission sur la révision des exigences de fonds propres réglementaires applicables aux établissements de crédit et aux entreprises d’investissement. 2001 19 Rousse PH. « Les risques opérationnels d’un assureur vie » Ecole nationale d’assurance, Thèse professionnelle, soutenue en avril 2009.
- 32 -
La mise en pratique prônée par le nombre croissant de réflexions consacrées à ce sujet consiste à considérer comme réalisation d'un risque opérationnel « Tout évènement qui perturbe le déroulement normal des processus métier et qui génère des pertes financières ou une dégradation de l'image de la banque »20 (bien que cette dernière conséquence ait été explicitement exclue de la définition du comité de Bâle, elle n'en reste pas moins au centre des préoccupations). La majorité des banques estiment le risque opérationnel présent dans tous les départements opérationnels, y compris ceux qui ont en charge l’infrastructure, même si la nature des facteurs et leur poids relatif peuvent fortement changer d’une activité à l’autre. Le risque opérationnel est supérieur dans les services ayant un grand volume d’activité, une forte répétition des tâches. 21 L’un des premiers apports du comité de Bâle a été de donner une définition positive du risque opérationnel, différente de celle du « risque de crédit, risque de marché », et équilibrée, à la fois suffisamment large pour y inclure un certain nombre de risques (risques juridiques…) et assez précise pour autoriser une quantification (exclusion des risques stratégiques et de réputation). Les risques opérationnels peuvent être liés à d’autres risques et il est alors nécessaire d’identifier ce lien :
Risque de crédit : lorsqu’une créance ne peut être recouvrée suite à la perte des
documents du dossier (notamment les garanties/suretés), ou encore lorsque le financement d’une entreprise se fait sur la base de faux documents. Il s’agit bien de risques opérationnels entrainant un risque de contrepartie (non recouvrement du capital ou non rémunération d’une opération). Il s’agit de mettre en place dans l’établissement les différentes interférences entre sys tème de gestion des risques opérationnels et celui des risques de crédits pour éviter la double allocation des fonds propres : Distinguer entre les évènements qui font l’objet de la gestion contentieuse au sens « risque de crédits » et les évènements significatifs liés au risque opérationnel.
Risque de marché : le risque marché est définit comme les pertes liées à l’évolution
défavorable des paramètres du marché financier (Taux, Cours des actions.). Des cas de croisement peuvent se présenter comme suit : erreur dans une opération dans un contexte de marché volatil, défaut dans le modèle de valorisation d’une opération par un opérateur du marché,….Les pertes opérationnelles associées au risque de marché sont le plus souvent traitées comme opérationnels et seront assujetties à une exigence de fonds propres au titre du risque opérationnel.
20 AMD conseil : www.amd-conseil.fr « Typologie du risque opérationnel » 21 comité de Bâle rapport sur le contrôle bancaire.« Gestion du risque opérationnel »
- 33 -
2.
Les catégories liées au risque opérationnel (Les catégories « Bâloises »)22:
Le Comité de Bâle a mené une analyse quantitative sur près d’une centaine d’établissements. L es résultats démontrent la fréquence et le coût global élevés des incidents opérationnels. Une analyse plus fine démontre que si les sinistres les plus élevés sont aussi les mieux couverts (incendie, dégâts des eaux). 23 Pour mieux les cerner le comité de Bâle a établi une typologie complète pour couvrir et prendre en considération l’ensemble des risques opérationnels. Cette typologie Baloise met en évidence 4 grandes catégories de risques opérationnels (figure 4):
Risque lié aux systèmes: défaillance matérielle, bogue logiciel, obsolescence des technologies ;
Risque lié aux processus : en relation avec le fonctionnement interne de la banque, incluant les erreurs dans les traitements administratifs et comptables des opérations, les erreurs de conception ou de mise en place de nouveaux produits ou projets, la malveillance interne ;
Risque lié aux personnes (absentéisme, fraude, mouvements sociaux,… mais aussi capacité de l'entreprise à assurer la relève sur les postes clés) ;
Risque lié aux événements extérieurs Personnes
Fraude Absences Mouvements sociaux
Systèmes
Pannes ou défaillances de systèmes Failles de sécurité de systèmes
Processus
Risque Opérationnel
Opérations non conformes Erreurs de saisie
Evénements extérieurs
Fraude externe Catastrophes Réglementation Contrats Terrorisme
Figure 4 : les grandes catégories de bâloises avec des exemples . 22 Comité de Bâle, Extrait du texte réglementaire définitif- « Convergence internationale de la mesure et des normes de fonds propres ». 23 Pirus Jean-François « L’analyse des risques opérationnels : un enjeu qui dépasse le secteur bancaire » ,2004.
- 34 -
L’identification de ces risques , selon le comité, suppose le découpage impératif des activités de la banque en 8 lignes de métier " bâloises " et la reconnaissance de 7 grands types d'événements de risques dans chaque ligne de métier. Les lignes de métier bâloises (Annexe 1) sont
24
:
1. Financement d’entreprise 2. Activités de marché 3. Banque de détail 4. Banque commerciale 5. Paiements et règlements 25 6. Fonctions d’agent 7. Gestion d’actifs 8. Courtage de détail Le comité de Bâle II a adopté une classification assez précise des différents types de risques opérationnels. Les catégories d’événements ou sources majeures d es risques opérationnels sont bien définies et détailler selon la circulaire n°29/G/2007 de BAM et aussi par le comité de Bâle. (Annexe 2)
3.
Le processus de gestion des risques :
L’adoption d’un dispositif de gestion des risques revient à mettre en place une démarche structurée jalonnée par un certain nombre d’étapes indispensables : 3.1 Identification et caractérisation des risques. L’essentiel dans la démarche de gestion des risque est d’attribuer , de manière la plus exhaustive possible, tous les événements générateurs de risques. Il en résulte alors une liste de risques possibles, qu’il convient ensuite de classifier selon différentes t ypologies de causes (techniques, humaines, réglementaires…), de façon à définir par la suite des actions de maîtrise adaptées à chaque risque. Il existe plusieurs approches pour parvenir à ce résultat. 26
Approche par processus : il s’agit d’effectuer à partir de la cartographie des processus un
inventaire des différents risques opérationnels associés aux tâches qui les composent. Pour cela, une analyse s’impose sur les inputs, les processus de transformation et les outputs livrés à l’issue de chaque processus.
24 Comité de Bâle, Extrait du texte réglementaire définitif- « Convergence internationale de la mesure et des normes de fonds propres ».www.bis.org, 2006 25Les pertes subies au titre des paiements et règlements par une banque dans le cadre de ses activités pour compte propre sont à intégrer dans l es antécédents de pertes de la ligne de métier conc ernée. 26 www.finance.sia-conseil.com « les clés de la gestion des risques opérationnels »
- 35 -
Approche par interview des opérationnels : ce procédé permet à partir de questionnaires
préétablis de lister les risques opérationnels identifiés par les opérationnels comme étant ceux qui affectent réellement ou potentiellement leurs activités. Quelle que soit l’approche retenue pour identifier les risques, il convient de la compléter par un rapprochement avec un benchmark sectoriel sur les risques opérationnels. Le résultat de ces travaux doit être formalisé dans un support de cartographie qui présenterait par type de processus les risques associés. 3.2 Evaluation et hiérarchisation des risques:
Cette seconde étape consiste, d’une part à évaluer, dans la mesure du possible, la probabilité d’apparition de chaque risque recensé. D’autre part à estimer la gravité des conséquences directes et indirectes de ce risque sur l’entreprise. Lorsque les risques sont bien analysés, il faut ensuite les classer, de façon à distinguer les risques acceptables en comparaison avec d’autres non acceptables pour l’ent reprise. L’objectif de cette classification et hiérarchisation est d’apprécier l’impact de chacun des risques détectés et de trouver le niveau d’exposition aux risques de l’entreprise. Grâce à cette quantification, le décideur pourra se focaliser sur les risques prépondérants et définir les actions à mener en priorité pour bien les maitriser. 3.3 Traitement des risques : La gestion des risques consiste également à les traiter, en prenant les dispositions appropriées pour les ramener à un niveau acceptable et les rendre ainsi plus supportables pour l’entreprise. Cela nécessite donc de définir et de mettre en œuvre, risque par risque, un certain nombre d’actions visant 27soit à (figure 5):
Supprimer ses causes, Transférer ou partager sa responsabilité ou le coût du dommage à un tiers (assurance, outsourcing…). Réduire sa criticité (en diminuant sa probabilité d’apparition ou en limitant la gravité de ses conséquences), Accepter le risque tout en le surveillant.
Figure 5 : Attitudes Face au risque opérationnel 27 société E-FOOLKY « Proposition pour la création d’un site de gestion de projet » 23/01/2009
- 36 -
3.4 Suivi et contrôle des risques : Parallèlement aux autres étapes, la liste des risques potentiels doit être réajustée. Certains risques peuvent disparaître, d’autres apparaître ou d’autres encore, considérés initialement comme faibles, peuvent devenir inacceptables pour l'entreprise. C'est pourquoi il est important de procéder périodiquement au suivi et au contrôle des risques encourus. 28 L’objectif est de mettre à jour la liste initiale des risques identifiés, d’affiner les caractéristiques des risques déjà connus, de réévaluer leu r criticité, de contrôler l’application des actions de maîtrise, d’apprécier leur efficacité, et de surveiller le déclenchement des événements redoutés et leurs conséquences. L’instauration d’une fonction Risk -management, qui appréhende la gestion des risques opérationnels sous l’angle technique, organisationnel et cognitif s’avère primordiale, cette fonction a pour intérêt de :
Fournir un cadre méthodologique qui permet à toute activité future d’être mise en place
de façon cohérente et maîtrisée.
Améliorer le processus des décisions, leur planification et leur hiérarchisation par une
compréhension exhaustive et structurée des activités de l’organisation, de la volatilité de ses résultats et par l’analyse des opportunités ou menaces sur ses projets.
Contribuer à l’optimisation de l’utilisation/allocation du capital et des ressourc es dans
l’organisation, réduire la volatilité dans les secteurs non essentiels de l’organisation ;
Protéger et augmenter le patrimoine et l’image de marque de l’organisation ; Développer et soutenir le potentiel des employés et le capital de connaissance de
l’organisation,
Optimiser l’efficience opérationnelle.
4. Les principaux outils de gestion des risques opérationnels : Une fois la politique de gestion des risques est définie, elle doit être traduire sur le terrain. Le dispositif de base d’une bonne maîtrise des risques opérationnels doit porter sur plusieurs éléments :
Un dispositif d’identification des risques au quotidien.
Des outils adaptés pour l’analyse des risques.
Un reporting régulier sur le profil de risque de l’établissement. Il existe différentes approches et outils pour la gestion des risques opérationnels, qui en
principes sont complémentaires. Néanmoins le schéma (figure 6) ci-dessous reflète une vision d’ensemble sur les principaux éléments dans un dispositif de gestion des risques opérationnels. 28 Fédération marocaine des sociétés d’assurances et de réassurance, « Guide d’assurance de la PME au Maroc »préparé par la Conférence des Nations Unies pour le Commerce et le Développement (CNUCED)
- 37 -
Politique RO
Risques potentiels
Incidents
Cartographie des risques
Système de collecte
Zones de fragilités
Indicateurs prédictifs (facteurs de risques)
Tableau de bord des risques opérationnels
Pilotage des risques opérationnels
Animation de la filière
Figure 6 : vision d’ensemble du dispositif de maîtrise des risques o érationnels 4.1 La cartographie des risques opérationnels : Parmi les outils d’analyse des risques, se situe la cartographie des risques comme un moyen efficace et pratique. La cartographie des risques s'appuie sur une analyse des processus métier, à laquelle on croise la typologie des risques opérationnels. 4.2.1 Définition et objectifs :
Une cartographie des risques est « la représentation à un Instant T des risques hiérarchisés, selon les critères de l’entreprise, et qui menacent un périmètre défini (processus opérationnel ou fonctionnel, métier, zone géographique….) sur un graphique permettant leur classification (Degré de vraisemblance, Degré de gravité » débouchant sur : Une analyse approfondie des conséquences d’un ensemble de scénarios potentiels de risques ; - 38 -
Une hiérarchisation des risques et des mesures correctrices, permettant ainsi d’en définir les priorités d’actions. La cartographie des risques consiste à associer les processus modélisés aux évènements de risques qui peuvent entraîner une perte en donnant pour chaque couple ainsi recensé une vision des impacts possibles.
C’est une évaluation qualitative des risques effectués par les
opérationnels de la banque à travers des questionnaires et des ateliers de travail. Un processus métier désigne « un ensemble de tâches coordonnées en vue de fournir un
produit ou un service à la clientèle » (figure 7). Grâce à la cartographie, la banque pourra bénéficier :
D’une vision analytique et hiérarchisée des risques et vulnérabilités, auxquelles ses activités l’exposent, de leurs causes et de leurs conséquences : Cerner les risques liés aux métiers de la Banque, les qualifier (niveau de criticité) et de les rattacher aux éléments concernés du référentiel (Tâche, acteur, système,...).
D’une capacité de pilotage coordonné des actions menées visant à contrôler les risques. Identification/hiérarchisation
Mise à jour Périodique et
Evaluation des risques
actualisation
Elaboration des plans d’actions/Amélioration continue
Réduction des risques/Sécurisation des processus
Figure 7 : processus de la gestion des RO par la cartographie. 4.2.2 La construction de la cartographie :
Deux logiques sont disponibles pour la construction de la cartographie :
L’approche « Top Down » : qui
pouvait être assimilée à la méthode indicateur de base en
ce sens que l’on se base sur un référentiel simplifié et qu’on privilégie des aspects qualitatifs plus rapides que des éléments chiffrés sur la collecte des incidents. Cette approche par le haut
- 39 -
n'est pas compatible avec les méthodes avancées, il est plutôt adapté à un contexte d’évaluation des risques dits majeurs (notamment stratégiques).
L’approche « Botom-up » :
il consiste à donner une vision plus exhaustive sur les risques
en se basant sur une approche processus. Cette méthode est plus adaptée avec la mise en ouvre d’un dispositif de collecte des incidents et de management des risques opérationnels La construction de la cartographie des risques, dans le cadre de l’approche « Botom-Up » passe par plusieurs étapes résumées comme suit :
Décomposer en activités/tâches chaque processus;
Recenser les risques associés à chaque activité/tâche;
Evaluer le risque brut : risque maximum encouru en cas de défaillance du dispositif de maitrise des risques.
Coter les pertes la probabilité d’occurrence pour chaque risque tenant compte de l’environnement de contrôle et son efficacité
Matricer les risques sur les axes fréquence et préjudice ;
Déterminer «visuellement» à partir de la matrice, les risques significatifs (ceux que l’on décide de faire face et de surveiller).
4.2.3 Avantages et limites de la cartographie :
Les points forts :
Caractère systématique : la cartographie permet d’envisager de manière méthodique, les
différentes situations de dangers et évènements de risques ainsi que leurs causes et conséquences. La maîtrise des risques ne peut effectivement être démontrée que si l’ensemble des causes et conséquences physiquement envisageables a été envisagé Outil
d’échange et de communication :
La cartographie des risques trouve sa pleine efficacité
lorsqu’elle est mise en œuvre au sein d’un groupe de travail pluridisciplinaire. A ce titre, elle constitue un outil d’échange et de communication pour véhiculer la culture du risque.
Les limites :
Subjectivité dans l’estimation des risques :
la cartographie des risques permet au groupe
d’estimer les risques en termes de probabilité et de gravité. Au niveau de l’analyse des risques, cette estimation est effectuée de manière simplifiée et ne doit pas être considérée comme un outil précis d’évaluation. Cette phase vise simplement à donner des indications sur les risques jugés a priori les plus importants en vue d’envisager de la manière la plus efficac e possible, les mesures de prévention et de protection devant être engagées.
Problème d’exhaustivité :
malgré son caractère systématique d’analyse des risques qui visent à
tendre vers le plus d’exhaustivité possible, force est de constater qu’il est impos sible de - 40 -
garantir une exhaustivité totale. En d’autres termes, son utilisation ne garantit pas une identification complète de toutes les causes potentielles d’un risque. La qualité des résultats et leur caractère exhaustif dépendent également du temps et d es moyens consacrés à l’analyse. Plus ces moyens seront importants, plus on tendra vers une exhaustivité totale. Cette remarque met en outre en lumière l’importance du caractère itératif de l’analyse des risques. En résumé, retenons donc que l’utilisation de la cartographie des risques constitue une aide précieuse pour l’identification des risques mais ne garantit pas à 100% que tous les incidents susceptibles de survenir aient bien été identifiés.
4.2 La collecte des incidents 29: L'identification a priori des risques aboutit à une cartographie théorique des activités. Seule l'expérience permet de valider cette description et d'identifier les zones d'activités sensibles pour y mettre en place les contrôles adéquats. L’organisation de la collecte des incidents constatés dans une base historique qui devrait permettre de :
Evaluer les pertes réellement subies suite aux risques opérationnels ;
Constituer
une source précieuse d'information pour le management des risques
opérationnels : Les données permettent de dégager une vision objective, chiffrée, des risques encourus, à condition bien sûr d'avoir été constituées d'une manière fiable et réaliste.
Mettre à jour périodique ou ponctuel des cartographies des risques opérationnels suite au
backtesting avec la base des incidents collectés. Contrairement à la notion d’événement de risque qui est potentiel, un incident est un événement de risque avéré. Il est déclaré par un correspondant Risques Opérationnels désigné au niveau de l’entité concernée. L’objectif est de recenser tout incident qui s’est produit et ayant comme conséquence une perte opérationnelle (Perte financière directe, Perte indirecte, Manque à gagner, Impact client, Perturbation de l’activité). La bonne gestion du risque opération nel suppose d’avoir à la fois une vision précise des relations « évènements – causes – impacts » et une capacité d’agir sur les causes. Il faut donc se demander si le rattachement aux nomenclatures d’évènements et de causes définies par le régulateur, d’une part, et le dispositif mis en place par la banque, d’autre part, offre une efficacité permettant de réduire les risques au quotidien.
29 Agnaou Ak. ; « La gestion du risque opérationnel application à la lutte contre la fraude en milieu bancaire » Mémoire pour l'obtention du graduat en comptabilité Année académique 2007-2008 institut des carrières commercial Bruxelles.
- 41 -
L’alimentation de la base des données des risques opérationnels est un pré requis absolu afin que l’établissement répond aux critères d’agrément pour modéliser les risques opérationnels. Les principes applicables à la base des incidents peuvent être résumés comme suit :
Les données de pertes internes d’un établissement doivent être exhaustives (sur un
périmètre minimal comptable).
La base des incidents doit pouvoir être alimentée dès que les incidents se produisent (au
fil de l’eau)
Toutes les conséquences financières liées à un incident doivent être évaluées.
Le contrôle des données de pertes et la maintenance de la base des incidents pour assurer
la pertinence des données sur les pertes. Quatre acteurs principaux interviennent dans le traitement de l’incident et l’évaluation des pertes (figure 8) : Le déclarant des risques opérationnels
Toute personne qui saisit un évènement réalisé.
(l’originateurs)
Lorsqu’un incident survient c’est lui qui saisit les informations qui
permettront de résoudre le problème.
Le collaborateur opérationnel
Traite les incidents en temps réel, assure la diffusion auprès des originateurs et recueille les impacts.
L’administrateur
Il gère le graphe constitué des processus et des activités, renseigne la typologie des risques opérationnels, analyse les
L’analyste du risque opérationnel
causes et les impacts et définit les indicateurs (KRI, indicateurs d’alertes..).
Figure 8 : processus de collecte des incidents - 42 -
4.3 Les facteurs de risques (KRI) et les indicate urs d’alerte30 : La cartographie ne saurait être complète si elle ne s'accompagnait de l'identification des
facteurs de risque (Key risk indicators). Ce sont les éléments quantitatifs susceptibles d'augmenter la probabilité de réalisation d'un risque : Nombre d'opérations traitées, taux d'absentéisme, etc. Cette notion constitue le fondement de la construction des tableaux de bord des risques. 31 Pour chaque domaine dont la cartographie a été réalisée, des indicateurs et des ratios sont identifiés (à partir des événements de risques les plus significatifs) pour faire l’objet d’un suivi périodique et permettre un bon pilotage des risques opérationnels. Les facteurs de risques doivent être produit s pour permettre à l’établissement bancaire de compléter le dispositif d’alerte et d’anticiper les pertes potentielles futurs sous un mode prédictif et aussi d’enrichir la base des incidents, notamment pour les incidents non avérés et ou à faibl e fréquence. A ce titre ces facteurs de risques doivent permettre de suivre le profil de risque (zones de fragilités) de la banque ainsi que l’environnement de risque. Les indicateurs d’alerte permettent essentiellement de détecter les évolutions des risques et anticiper les adaptations. Ace sujet, toute définition d’un indicateur est consécutive à une réfle xion commune devant déterminer :
Son libellé ;
Son objectif (suivi d’un événement de risque, suivi du plan de l’efficacité du plan
d’action) ;
Ses variables ;
Son mode de calcul ;
Son unité de mesure ;
Ses seuils limites (inférieurs / supérieurs) ;
Sa périodicité d'application ;
Un indicateur de qualité doit être:
Pertinent : L’indicateur doit être exactement approprié au phénomène à observer et doit
apporter une valeur ajoutée pour la détermination de l'efficacité ou non du contrôle mis en place.
Précis : C’est une donnée quantitative, qualifiée qui doit fournir des informations
univoques. Il se caractérise au moyen de taux, ratio, indice pondéré de plusieurs mesures, comptage, barème, qui doit être fidèle et sans distorsion. 30 Societé optimind, « Risques opérationnels, Quelles réponses face à un risque difficle à appréhender ? », Avril 2011. 31 AMD conseil www.amd-conseil.fr « risque opérationnel »
- 43 -
Reproductible : la donnée doit revêtir un caractère stable pour être reproductible.
Fiable : Dans sa définition, sa collecte et son exploitation
Communiqué : Pourquoi cet indicateur dans quels buts ? pour en faire quoi dans quels
délais ? Et avec qui ?
Rapide à collecter et à traiter: Tableaux, diagrammes, histogrammes, signaux.
Synthétiques : Facile à établir et pratique à utiliser. En qualité d'instrument de pilotage,
l'indicateur est également un outil de dialogue entre les utilisateurs ayant des cultures et des préoccupations différentes.
5. Les saines pratiques de gestion du risque opérationnel 32: Le document « Sound practices for the management and supervision of Operational risk (www.bis.org) » définit les conditions de développement d’un environnement approprié de gestion des risques opérationnels. Il a subit des évolutions en décembre 2001, juillet 2002, et février 2003. En effet, la mise en œuvre des trois piliers passe par le déploiement des standards de qualité « Saines pratiques » définies par Bâle II en 10 principes. Les principes des saines pratiques sont détailles comme suit :
5-1 Elaboration d’un environnement adéquat pour la gestion du risque :
Principe 1 : le conseil d’administration doit considérer les principaux aspects du risque
opérationnel de la banque comme une catégorie distincte de risque à gérer. Il doit aussi approuver et réexaminer périodiquement le dispositif de gestion de ce risque. Ce dispositif doit fournir une définition du risque opérationnel valable pour la banque tout entière et poser les principes servant à identifier, évaluer, suivre et maîtriser/atténuer ce risque.
Principe 2 : le conseil d’administration doit garantir que le dispositif de gestion du risque
opérationnel de la banque est soumis à un audit interne efficace et complet, effectué par un personnel fonctionnellement indépendant, doté d’une formation appropriée et compétent. La fonction d’audit interne ne devrait pas être directement responsable de la gestion du risque opérationnel.
Principe 3 : la direction générale doit mettre en œuvre le dispositif de gestion du risque
opérationnel approuvé par le conseil d’Administration. Ce dispositif est à appliquer de façon cohérente dans l’ensemble de l’organisation bancaire. L es membres du personnel, à tous les niveaux, doivent bien comprendre leurs responsabilités dans la gestion du risque opérationnel. La direction générale doit aussi être chargée d’élaborer des politiques, processus, procédures de gestion du risque opérationnel pour tous produits, activités, processus et systèmes importants.
32
Comité de Bâle, « les saines pratiques pour la gestion et la surveillance du risque opérationnel », Février 2003. - 44 -
5-2 Gestion du risque : identification, évaluation, suivi et maîtrise/ atténuation du risque :
Principe 4 : les banques doit identifier et évaluer le risque opérationnel inhérent à tous
produits, activité, processus et systèmes importants. Avant de lancer ou d’exploiter tous produits, activités, processus et systèmes nouveaux, elles doivent soumettre à une procédure adéquate d’évaluation le risque opérationnel qui leur est inhérent.
Principe 5 : les banques devraient mettre en œuvre un processus de suivi régulier des
profils de risque opérationnel et des expositions importantes à des pertes. Les informations utiles à une gestion dynamique du risque opérationnel devraient être régulièrement communiquées à la dir ection générale et au conseil d’administration.
Principe 6 : les banques doivent adopter des politiques, des processus et des procédures
pour maîtriser et/ou atténuer les sources importantes de risque opérationnel. Elles doivent réexaminer périodiquement leurs stratégies de limitation et de maîtrise du risque et ajuster leur profil de risque opérationnel en conséquence par une utilisation de stratégies appropriées, compte tenu de leur appétit pour le risque et de leur profil de risque global.
Principe 7 : les banques doivent mettre en place des plans de secours et de continuité
d’exploitation pour garantir un fonctionnement sans interruption et limiter les pertes en cas de perturbation grave de l’activité. 5-3 Rôle de superviseurs :
Principe 8 : les autorités de contrôle bancaire doivent exiger que toutes les banques,
quelle que soit leur taille, aient mis en place un dispositif efficace pour identifier, évaluer, suivre et maîtriser/atténuer les risques opérationnels importants, dans le cadre d’une approche globale de la gestion du risque.
Principe 9 : les superviseurs doivent procéder régulièrement, de manière directe ou
indirecte, à une évaluation indépendante des politiques, des procédures et des pratiques des banques en matière de risque opérationnel. Les superviseurs doivent veiller à ce qu’il existe des mécanismes appropriés leur permettant de se tenir informés de l’évolution dans les banques.
6 Rôle de la communication financière :
Principe 10 : la communication financière des banques devrait être suffisamment étoffée
pour permettre aux intervenants du marché d’évaluer leur méthodologie de gestion du risque opérationnel. Parmi les grandes orientations du comité de Bâle concernant la gestion des risques opérationnels, un intérêt particulier est accordé au système de contrôle interne (SCI). Quel que soit la méthode d’évaluation des fonds propres réglementaires choisie, les dix principes de saines pratiques de la gestion des risques opérationnels définis par le comité de Bâle constituent le socle minimum qui doit être établit depuis 2007. - 45 -
Section 3: L a mesur e et l a quanti fication des risques opé rationn els : es risques opérationnels sont, de par leur nature, difficiles à appréhender et à évaluer. Pour une banque, le risque de crédit est de loin le plus important, devant le risque opérationnel et le risque de marché. Le coût du risque opérationnel est cependant loin d’être négligeable, et peut représenter une part significative du Produit Net Bancaire pour certaines activités. Aujourd’hui, la gestion du risque opérationnel est très qualitative. Néanmoins, les approches quantitatives (méthode Loss Distribution Approach ou LDA) sont de plus en plus importantes, surtout depuis la mise en place des systèmes de collecte de pertes. La mesure du risque opérationnel selon Bâle II correspond à une valeur en risque, similaire dans son principe à celle calculée dans les domaines du risque de marché et du risque de crédit. Elle doit donc couvrir à la fois les pertes attendues et les pertes exceptionnelles. Pourtant, en théorie, les fonds propres réglementaires ne couvrent que les pertes exceptionnelles et non les pertes moyennes, ces dernières sont censées être couvertes par des provisions ou imputées sur le résultat courant. Le Comité de Bâle propose trois approches distinctes pour déterminer le capital réglementaire (ou exigence de fonds propres) au titre du risque opérationnel (figure 9):
L’approche indicateur de base ( Basic Indication Approach ou BIA).
L’approche standardisée (Standardised Approach ou SA).
Les mesures dites avancées ( Advanced Measurement Approach ou AMA). Exigence de qualité de la gestion du risque
-
+
Approche
Approche
Approche mesure
indicateur de
standard (SA)
avancée (AMA)
base (BIA)
-
+ Niveau de fonds propres exigés
Figure 9 : les approches de calcul des FP selon la qualité de GR et le niveau de FP exigés
- 46 -
Les banques ont la possibilité de choisir celle qui leur paraît correspondre le mieux à la spécificité de leur activité, mais aussi à leur capacité globale d’action. Elles doivent en effet s’assurer qu’elles disposent de l’ensemble des moyens nécessaires à la mise en œuvre de la solution retenue. Le degré de sophistication de chacune de ces trois méthodes est en effet croissant.
1. L’approche indicateur de base (Basic Indicat or Approach ou BIA). 33
Cette méthode ne nécessite aucun critère d ’éligibilité pour son application compte tenu de son caractère très simple. Elle consiste à appliquer un pourcentage fixe (Alpha) à un indicateur qui représente l’exposition potentielle aux risques opérationnels. Dans ce cas, l’indicateur considéré est le produit annuel brut moyen sur les trois dernières années.
Capital requis : FPRO= α. PNBtot
α = 15%
Cette méthodologie très simple ne peut s’appliquer qu’à des établissements de très petite taille ou ayant une activité réduite et présentant des risques limités. En effet, elle ne permet pas véritablement une gestion des risques, mais évite pour ces petits établissements à devoir déployer un dispositif qui serait disproportionné à leur activité.
Aux fins du calcul de l’exigence de fonds propres au titre du risque opérationnel, l’indicateur de référence est la somme algébrique : des intérêts perçus et produits assimilés, des intérêts versés et charges assimilées, des revenus de titres, des commissions perçues, des commissions versées, du résultat provenant des opérations financières, des autres produits d’exploitation.
Pour simplifier, on parle souvent du PNB (Produit net bancaire).
2. L’approche standardisée (Standardised Approach ou SA). 34 L’exigence est liée aux produits net bancaires métiers (8 lignes métier) multiplié par un facteur de pondération reflétant le risque lié à l’acti vité, donné par le régulateur. Il existe des critères d’éligibilité reflétant la qualité du système de gestion des risques et le suivi des données de pertes. 33 Jimenez Ch. ; Merlier P. ; Chelly D. « Risques opérationnels, de la mise en place du dispositif à son audit », éditeur Revue Banque 2008. 34 Jimenez Ch. ; Merlier P. ; Chelly D. « Risques opérationnels, de la mise en place du dispositif à son audit », éditeur Revue Banque 2008.
- 47 -
Capital requis: FPRO = ∑ ßi. PNBi Business lines
(Tableau 8 : les lignes de métier et les coefficients) Activités
Financement des
Fusions/acquisitions, émissions, privatisation,
entreprises
dette publique, syndication, titrisation
Négociation et
Négociation sur marchés de capitaux (actions,
vente
obligations), marché monétaire
institutionnelle
(prêts/emprunts)…
Paiements et
Paiements domestiques, transferts de fonds,
règlements
règlements interbancaires, compensation,
Coefficient ßi (%) 18%
18%
18%
correspondant banking Service d’agence
Conservations de titres, service aux émetteurs,
15%
prêts de titres Banque
Effets de commerce, financement export,
commercial
commerce international, financement de projets,
15%
leasing, factoring Gestion d’actifs
Gestion de fonds sous toutes ses formes
12%
(public/privé, retail/institutionnel, côté/non côté….) Courtage de détail
Traitement des ordres et services associés
12%
Banque de détail
Dépôts, prêts, cartes bancaires, services
12%
bancaires, conseils financiers, banque privée, gestion de fortune, garanties
Ce facteur de pondération est normalement fixé de sorte à être une incitation pour les établissements à se doter d’un dispositif de gestion des risques conforme au dispositif AMA. L’exigence de fonds propres au titre du risque opérationnel est la moyenne sur 3 ans des indicateurs d’exigence de fonds propres calculés chaque année sur l’ensemble des lignes d’activité. Les coefficients ont été fixés par le comité de Bâle à la suite des différentes études d’impact réalisées ces dernières années. Si le calcul pour une ligne métier négatif, il peut se compenser avec d’autres lignes dont le calcul est positif. Si le total est négatif, la consommation de fonds propres retenus sera Zéro. Cette méthodologie est celle que doivent appliquer par défaut l’ensemble des établissements.
- 48 -
3. Les mesures dites avancées (Advanced Measurement Approach ou AMA). Le Comité de Bâle propose plusieurs alternatives au sein du régime AMA :
Une méthode RDCA (Risk Drivers and Controls Approach), anciennement dénommée Scorecard,
L’analyse des scénarios ou sbAMA (Scenario-based AMA),
La méthode LDA (Loss Distribution Approach = Approche de Distribution de perte), la plus sophistiquée au plan technique.
La pratique de chacune de c es méthodes est soumise au respect d’un ensemble de critères qualitatifs, notamment en termes d’évaluation du risque opérationnel et de procédure de collecte des données de perte. C’est là leur dénominateur commun. Sur le fonds, la différence concerne essentiellement le type d’information privilégié dans le calcul du capital réglementaire. La méthode LDA s’appuie sur un historique de données de perte, tandis que la sbAMA cherche à définir des scénarios prospectifs (‘what-if’ scenarios). La valeur en risque est ensuite calculée par une méthode de Monte Carlo. 3.1 La méthode RDCA 35:
La méthode RDCA (ex approche Scorecard) procède par une série de questions pondérées, dont certaines peuvent s’apparenter à des scénarios. Un score est déterminé sur la base de s réponses obtenues, qui va permettre d’éclater le capital réglementaire total entre les différentes lignes d’activités. Le Comité de Bâle n’a fourni aucune formulation mathématique pour cette approche. Néanmoins, les groupes de travail au sein des banques ont proposé des formules de calcul du capital réglementaire (K) de la forme : KScorecard = EIij × ωij × RSij
i= la catégorie d’activité et j = le type de risque, la charge en capital (K ), avec EI l’indicateur d’exposition ( Exposure Indicator ), RS le score de risque ( Risk Score) et ω un facteur d’échelle (Scale Factor ). La méthode RDCA (Risk Drivers and Controls Approach/ Scorecard), par exemple prend en compte les facteurs de risque opérationnel dont les plus couramment cités sont:
le niveau de compétence/qualification du personnel
l’organisation interne/transferts d’information
l’infrastructure IT (ex, sécurité des systèmes)
35 Pascal lele docteur université laval québec « Guide pratique de comptabilité de gestion du risque opérationnel et du risque de contrepartie » entreprise risk management –internal insurance, 01 SEPTEMBRE 2007. - 49 -
les procédures de contrôle des activités non autorisées,
les mesures de protection contre des catastrophes et autres sinistres
le respect des obligations légales (ex, conformité, diffusion d’informations et devoir fiduciaire). 3.2 L’analyse de scénarios 36:
L’analyse de scénarios (sbAMA) est en fait un prolongement de la RDCA. Le risque y est envisagé comme une combinaison de la sévérité et de la fréquence des pertes potentielles sur une période donnée. La fréquence et la sévérité (potentielles) de la perte peuvent être mesurées en unités monétaires et en nombre d’occurrences annuelles. Les scénarios sont généralement établis à partir des ressources critiques sur lesquelles s’appuient les différentes lignes d’activité de la banque. Ces ressources correspondent en réalité aux facteurs de risque opérationnel. Parmi les plus courants, on recense le niveau de compétence/qualification du personnel, l’organisation interne/transferts d’information, l’infrastructure IT (ex : sécurité des systèmes), les procédures de contrôle des activités non autorisées/vol et fraude/erreurs non intentionnelles (ex : saisie, exécution et suivi des transactions), les mesures de protection contre des catastrophes et autres, sinistres, ou encore, le respect des obligations légales (ex : confor mité, diffusion d’informations). L’enjeu est alors de déterminer la façon dont on peut extraire des scénarios une information utile. Par exemple :
Quelle est la probabilité qu’une ou plusieurs de ces ressources ou facteurs de risque fassent défaut sur un intervalle de temps jugé critique pour la banque ?
Quel impact négatif en résulte ? 3.3 La modélisation LDA 37:
L’idée générale de la méthode LDA (Loss Distribution Approach = Approche de Distribution de perte) est de modéliser la perte liée au risque opérationnel pour une période donnée (par exemple, un an) et d’en déduire la valeur en risque. Frachot et al(2003) propos ent de procéder en cinq étapes pour implémenter cette méthode :
Estimation de la distribution de sévérité des pertes attendues ;
Estimation de la distribution de la fréquence des pertes inattendues ;
Calcul de la charge en capital ;
Calcul des intervalles de confiance du dispositif ;
Incorporation des avis d’experts ((Ex. les données externes du Comité de Bâle)
36 Pascal lele docteur université laval québec « Guide pratique de comptabilité de gestion du risque opérationnel et du risque de contrepartie » entreprise risk management –internal insurance, 01 SEPTEMBRE 2007. 37 Dehan H.« La quantification du risque opérationnel des institutions bancaires » Thèse de doctorat, avril 2007.
- 50 -
Source : Thèse de Doctorat ; Hela Dahen «La Quantification du Risque Opérationnel des Institutions Bancaires » HEC Montréal Université de Montréal - juillet 2007.
A l’instar de la plupart des modèles de mesure du risque opérationnel, la LDA se fonde sur une approche actuarielle (fréquence/sévérité) très ancienne largement utilisée dans le domaine de l’assurance pour modéliser des problèmes similaires. Pour que le modèle LDA puisse tourner, il faut lui fournir deux éléments essentiels : la distribution de la sévérité des pertes (loss severity distribution) et la distribution de la fréquence des pertes (loss frequency distribution). Ces deux distributions, qui forment l’historique des pertes, sont ensuite combinées par une simulation Monte Carlo afin d’obtenir la distribution de la perte totale. Cel le-ci étant le résultat de plusieurs pertes successives, il s’agit d’une perte agrégée (aggregate loss distribution). A partir de la perte totale, on dérive ensuite la perte attendue ou moyenne (expected loss) et la perte exceptionnelle (unexpected loss), pour un niveau de confiance donné. Contrairement à la BIA, les banques qui appliquent les méthodes AMA (approches de mesures avancées) sont autorisées à calculer elles-mêmes leurs fonds propres réglementaires à partir de leurs propres modèles internes. Les méthodes AMA conduisent à une exigence de fonds propres réglementaires a priori plus faible que dans le cas de l’approche BIA, ce qui est bien évidemment est favorable à la banque. Au Maroc, le régulateur a retenu uniquement la méthode de base et la méthode standard, estimant que les banques n’étaient pas enco re prêtes à mettre en place des modèles avancés sauf - 51 -
certains types de Banques qui ont essayé de préparer les exigences pour passer à l’approche avancée. On conclut donc que les outils de gestion des risques opérationnels sont constitués d’outils internes permettant aux organisations de réduire les inefficiences et ceux qui lui sont imposés par la réglementation des risques opérationnels lorsque ceux-ci sont sujets à un traitement réglementaire. Le traitement financier du risque opérationnel proposé par Bâle II consiste à mettre en place dans les organisations un réel dispositif de suivi et de pilotage. Les organisations doivent mettre en œuvre ce dispositif en respectant les normes de la réglementation.
- 52 -
Chapitre III Évaluation de la gestion des risques opérationnels du GBP
- 53 -
Secti on 1 : M ission s et organisati on de la f iliè re «risques opé rati onnels »au sein du Gr oupe Banqu e Popul air e : Le dispositif comporte des politiques définissant la méthodologie d’identification, d’évaluation, de suivi et de maîtrise et/ou d’atténuation des risques. ……
1. L’organisation du dispositif de GRO 38: Au sein de la banque populaire, l’organisation de la fonction de gestion des risques opérationnels est basée sur la directive n°29/G/2007 de Bank AL Maghreb, relative au dispositif de gestion des risques opérationnels. La surveillance des risques opérationnels est partagée entre deux organes, celle d’administration (conseil d’administration, conseil de surveillance ou toute instance équivalente) et celle de la direction (direction générale, directoire ou toute instance équivalente). (Annexe 4 : Les missions de chaque organe selon la circulaire n°29/G/2007) L’organisation du dispositif de gestion des risques opérationnels repose essentiellement sur deux niveaux de gestion :
1er niveau : l’identification, la mesure et le contrôle des risques opérationnels sont de la responsabilité d’une entité dédiée à la Gestion des risques opérationnels (cette mission est chargée par l’organe d’administration). Celle-ci a notamment en charge de mettre à disposition des métiers des informations sur leur niveau de risque opérationnel, afin d’éclair leurs décisions en matière d’actions de couverture de ces risques.
2ème niveau : la détection et la collecte des incidents, la mise en œuvre d’actions de couverture des risques sont de la responsabilité des entités eux-mêmes. L ’entité RO apporte l’assistance technique et méthodologie nécessaire.
2. La politique de Gestion des RO de la BP 39: Afin de maîtriser ses risques opérationnels, le groupe CPM met en place une politique de gestion R.O dont les principaux fondements sont les suivants :
être en mesure de détecter le plus tôt possible les risques ou les incidents de nature opérationnelle pouvant avoir des conséquences financières et /ou sur l’image du Groupe ;
analyser les risques (potentiels) et /ou les
incidents (avérés) et apprécier le plus
précisément possible et de façon dynamique leurs impacts ;
38
La circulaire de Bank al Maghreb n°29/G/2007. La charte de gestion des risques opérationnels de Groupe Banque Populaire.
39
- 54 -
alerter et mobiliser les principaux responsables concernés par lesdits incidents, q u’ils en soient à l’origine et/ou qu’ils en subissent les conséquences ;
faire engager les actions curatives et préventives qui s’imposent pour : - Réduire les impacts ; - limiter la probabilité de survenance des incidents ; - tirer les enseignements et adapter les organisations ; - se doter (si nécessaire) d’instruments de couverture alternatifs de type Assurances.
mesurer les effets de cette politique et disposer d’outils et d’indicateurs de pilotage à destination de la Présidence, du Management dirigeant, des métiers et des différents acteurs du dispositif pour : - apprécier, par BPR, par métier et par fonction, les expositions aux risques
opérationnels et les réduire (Coût du risque) ; - Suivre les plans d’actions engagés et leur état d’avancement ;
Pour mettre en œuvre cette politique, il a été confié à un ensemble d’acteurs des missions et des attributions bien définis et clair.
3. Les missions et les attributions des différents acteurs : 40 Le dispositif de gestion des risques opérationnels au sein de la banque populaire fait appel aux acteurs suivants :
La Direction Générale en charge de la Gestion Globale des Risques
Le Comité gestion des risques et conformité
La Commission risque opérationnel
La Direction des risques opérationnels.
La fonction – Risk management BPR
Les correspondants risques opérationnels au sein des métiers.
Les missions de ces acteurs, sont bien définies par le régulateur (tableau ci-dessous). La réussite du dispositif suppose une organisation efficiente dont les responsabilités sont clairement définies:
respect des orientations stratégiques en matière de gestion des risques opérationnels ;
responsabilité de la bonne utilisation des outils méthodologiques et informatiques mis en place ;
responsabilité de la qualité de leurs dispositifs de contrôle des risques opérationnels ;
refonte des procédures en vue de l’optimisation des risques incombe aux fonctions propriétaires avec le pilotage et l’assistance de la fonction Organisation.
40
La charte de gestion des risques opérationnels de Groupe Banque Populaire.
- 55 -
Tableau 9 : les missions des acteurs de gestion risques opérationnels Acteur
Missions
Veiller sur la mise en place du dispositif de gestion des risques opérationnels ; Déterminer la politique et les règles Groupe en matière de gestion des risques o CHARGE DE LA opérationnels, en particulier leurs niveaux d’acceptation et de tolérance, ceci dans le GESTION cadre d’une gestion globale de l’ensemble des risques cohérente avec la stratégie et les GLOBALE DES objectifs de rentabilité du Groupe ; R ISQUES Suivre régulièrement la mise en œuvre effective du dispositif de gestion des risques o opérationnels au sein des établissements ainsi que son adaptation aux évolutions de l’environnement et aux évolutions internes ; Définir les priorités en matière d’amélioration des dispositifs de contrôle des risques ; o Suivre l’évolution des risques et leur incidence sur les fonds propres et s’assurer du o respect des limites globales des risques ; S’assurer de la conformité du dispositif aux exigences réglementaires et aux principes o du Groupe. COMITE o piloter et coordonner les projets significatifs et/ou transversaux concernant tous les LE risques notamment les Risques Opérationnels ; GESTION DES o proposer des adaptations à la démarche du Groupe et procéder aux arbitrages R ISQUES & (notamment de nature budgétaire) ; CONFORMITE veiller à la cohérence des méthodologies et à la diffusion des bonnes pratiques en o matière de gestion, de mesure et de suivi des incidents ; examiner les analyses & les statistiques d’incidents ; o fixer des limites ou des objectifs globaux de réduction des expositions aux risques o opérationnels (dès que le Groupe disposera d’un historique /incidents suffisant). LA DIRECTION o Déployer au niveau des BPR et des filiales le système d’identification et d’évaluation des risques Opérationnels ; DES R ISQUES OPERATIONNE o Assurer la formation et l’assistance des différents intervenants (BCP, BPR et filiales) lors du déploiement de l’outil et plus généralement dans toute la gestion des Risques LS Opérationnels ; o Assurer le déploiement, auprès des utilisateurs, des méthodologies et outils du Groupe, en prenant en considération les adaptations nécessaires liées aux caractéristiques propres de certains établissements et métiers (BPR & Filiales) ; o Piloter l’ensemble du dispositif R.O au niveau du CPM (cartographies, base d’incidents, indicateurs, plans d’actions & Reporting) ; o Garantir l’intégrité des données produites tant en matière de qualité de l’information renseignée qu’en matière d’exhaustivité ; o Effectuer une revue périodique des bases d’incidents, de l’état d’avancement des plans d’actions, des procédures de gestion et des contrôles correspondants ; o Effectuer une veille réglementaire et informatique du domaine Risques Opérationnels (évolution des textes réglementaires, suivi des réflexions de place, suivi des outils). LA FONCTION o Participer au déploiement de la cartographie des risques opérationnels ; Mettre à jour, au moins une fois par an, la cartographie locale des Risques Opérationnels o R ISK en collaboration avec les fonctions et les entités concernées de la BPR ; MANAGEMENT Enrichir la cartographie des Risques Opérationnels, compte tenu des anomalies o BPR constatées et des spécificités propres à la BPR (à travers les contrôles, les pertes déclarées, les résultats des missions réalisées par l’audit interne,…) ; Analyser l’ensemble des pertes déclarées, compléter et enrichir les données y o afférentes ; Suivre la résolution des incidents déclarés avec l’ensemble des fonctions intervenantes o S’assurer de la déclaration exhaustive des pertes de la part des fonctions concernées ; o Analyser les pertes afin d’en tirer les enseignements et recommander les actions o permettant de les éviter et/ou de réduire leur impact ; Produire les reporting nécessaires à l’intention de la Division Risk Management, et o notamment pour la Direction du Risque Opérationnel. LA DIRECTION GENERALE EN
LES
o
o
Contribuer à l’élaboration de la cartographie - 56 -
CORRESPONDANTS RISQUENT OPERATIONNELS DES METIERS
Mettre à jour, au moins une fois par an, la cartographie des Risques Opérationnels relatifs à sa Division ; en collaboration avec les fonctions et les entités concernées de la BPR. Cette mise à jour concerne les éléments de quantification des événements de risque et d’évaluation des dispositifs de contrôles - Proposer les actions nécessaires pour la maitrise des Risques Opérationnels identifiés. Déclarer les incidents opérationnels o - Assurer l'analyse, la complétude et l'enrichissement des données relatives à l’ensemble des pertes opérationnelles déclarées ; - Suivre la résolution des incidents y afférents avec l’ensemble des fonctions intervenantes ; Reporting Risques Opérationnels: Contribuer aux reporting relatifs aux Risques Opérationnels. A noter que les Correspondants Risquent Opérationnels des Métiers doivent disposer d’une expertise suffisante du métier concerné et doivent être positionné à un niveau convenable au niveau de leurs entités afin -
o
de pouvoir assurer correctement leurs missions. L’ensemble, des acteurs concernés par la gestion des risques opérationnels sont représentés dans la figur e 41ciaprès.
Comité Directeur Comité de coordination Inspection générale CPM
Comité Risques & Conformité
Audit Interne BCP
Pôle Gestion Globale des Risques
Division Risques de Crédit & Opérationnels
Correspondant BCP 1
Correspondant BCP n
Fonction Risk Management
Correspondant BPR 1
Audit/ Contrôle Filiales
Correspondant BPR n
Figure 10 : Organisation de la filière Risques Opérationnels
LEGENDE : Liens hiérarchiques : Liens fonctionnels : Reporting & Coordination :
41
La charte de gestion des risques opérationnels de Groupe Banque Populaire.
- 57 -
Secti on 2 : L es approches de calcul des exi gences des fonds propres en mati è re de RO selon BAM
Pour couvrir les risques opérationnels, les établissements de crédit sont tenus de calculer l’exigence en fonds propres nécessai re et ses établissements ont le choix entre trois types d’approches selon la circulaire N°26 /G/2006 et la circulaire N°08/G/2010 de Bank ALMAGHIB : Approche indicateur de base, Approches standards, Approche de mesure avancée. Le choix de l’une des deux dernières approches est conditionné par l’autorisation préalable de Bank AL-Maghreb.
1. Approche indicateur de base :42 Selon la circulaire N°26/G/2006 le calcul de l’exigence en fonds propres par l’approche indicateur de base est égal à 15% de la moyenne du PNB, calculée sur 3 ans. Cette moyenne est déterminée sur la base des 3 derniers Produits Net Bancaires, calculé s sur une période d’un an, arrêtés à fin juin ou à fin décembre de chaque exercice. Seuls les PNB positifs sont pris en considération dans le calcul de cette moyenne.
2. Les Approches standards :43 Les deux approches intermédiaires sont considérées comme un passage à une approche propre à l’établissement de crédit. Ces approches se basent sur la répartition des activités de l’entreprise en huit lignes de métier telles que précisées au tableau ci-dessous. Ces approches sont comme suit : 2-1 Approche standard
Les établissements sont tenus de ventiler leurs activités en huit lignes de métier pour appliquer cette approche. L’exigence globale en fonds propres est égale à la moyenne sur trois ans des sommes des exigences en fonds propres de toutes les lignes de métier pour chaque année. L’exigence en fonds propres correspondants à une année donnée, est égale à la somme des produits nets bancaires positifs ou négatifs, des huit lignes de métiers, multiplies par le coefficient de pondération correspondant. Lorsque l’exigence, au titre d’une année donnée est négative, elle est prise en compte en tant que valeur nulle. L’utilisation de cette approche standard est subordonnée au respect préalable des recommandations édictées par Bank ALMAGHRIB en matière de gestion des risques opérationnelles. (Tableau 8) Lignes de métiers
Financement des entreprises
Activités de marché
Banque de détail
Banque commerciale
Paiement et règlement
Courtage de détail
Service d’agence
Gestion d’actifs
Coefficient de pondération
18%
18%
12%
15%
18%
12%
15%
12%
42
La circulaire de Bank al Maghreb N°26/G/2006
43
La circulaire de Bank al Maghreb N°26/G/2006
- 58 -
2-2 Approche standard alternative Selon cette approche, l’exigence en fonds propres est égale à la somme des exigences en fonds propres pour lignes de métiers « banque de détail » et « banque commerciale » et de celles des six autres lignes de métiers. L’exigence en fonds propres relative aux lignes de métiers « Banque de détail » et « Banque commerciale » est égale à la moyenne, sur trois ans, des encours de crédit brut pondéré par 15%, multipliée par 0,035. Cette moyenne est déterminée sur la base des trois derniers en cours de crédit, calculés sur une période d’un an, arrêtés à fin juin ou à fin décembre de chaque exercice. L’exigence en fonds propres relative aux six autres lignes est égale à la moyenne, sur trois ans, du produit net bancaire correspondant à ces lignes de métiers, affectée d’un coefficient de pondération de 18%. Cette moyenne est déterminée sur la base des trois derniers produits nets bancaires, calculés sur une période d’un an, arrêtés à fin juin ou à f in décembre de chaque exercice.
3. Approche par mesure avancée (AMA) 44: Les établissements de crédit peuvent utiliser cette approche (AMA) fondée sur leurs propres systèmes de mesure pour calculer les exigences en fonds propres
au titre des risques
opérationnels, s’ils satisferaient aux conditions minimales suivantes :
Respecter les exigences qualitatives et quantitatives minimales.
Démontrer que le système de mesure des risques opérationnels est conçu et utilisé de manière saine et fiable et qu’il est adapté à l’environnement opérationnel et de contrôle ;
Appliquer l’approche par mesure avancée l’AMA de manière effective pendant une période d’au moins un an, dans le cadre de la gestion interne des risques. a. Les exigences qualitatives minimales :
- assumer des responsabilités dans le processus de gestion des risques opérationnels ; - Disposer d’une fonction chargée de la gestion des risques opérationnels indépendante des
unités opérationnelles ; - Mettre en place un système de gestion des risques opérationnels qui repose sur des principes
sains et mis en œuvre de manière intègre ; - Intégrer les résultats de l’AMA dans la gestion des risques ; - Elaborer des reporting qui incluent les expositions aux risques opérationnels et les pertes
subies ; - Constituer une documentation exhaustive décrivant les principes et processus de gestion
des risques opérationnels et les techniques de mesure utilisées ;
44
La circulaire de Bank al Maghreb N°08/G/2010
- 59 -
- Alimenter le système de mesure des risques opérationnels par des données fiables,
cohérentes et exhaustives ; - Mettre en place un dispositif de validation des systèmes de gestion et de mesure des risques
opérationnels et procéder leur examen périodique par l’audit interne. b. Les exigences quantitatives minimales :
- Exigences générales : Le système de mesure des risques opérationnels doit être documenté,
cohérent et d’une granularité suffisante. Ce système doit appréhender les différents types d’événements générateurs de pertes et permettre de couvrir toutes les pertes sur un intervalle de confiance de 99,9% et sur un horizon d’un an. Le calcul des exigences en fonds propres au titre des risques opérationnels porte sur les pertes inattendues et les pertes attendues, lorsque celles-ci ne sont pas couvertes. - Exigences des données internes : les établissements de crédit se dotent d’un dispositif de
collecte de données internes de pertes, puis d’un historique de données internes de pertes d’au moins cinq ans (Bank AL-Maghreb peut autoriser à utiliser des données couvrant une période de trois ans seulement, jusqu’à la constitution de l’historique minimum de cinq ans), et d’une procédure documentée pour évaluer la pertinence des données internes de pertes. - Exigences des donnés externe : utiliser les données externes principalement pour prendre en
compte les événements exceptionnels générateurs de pertes potentiellement sévères. - Exigence des analyses des scénarios : utiliser les résultats des analyses de scénarios basées
sur les avis d’experts pour évaluer leurs expositions aux évènements exceptionnels pouvant générer des pertes sévères. Ils doivent régulièrement valider et ajuster leurs évaluations par rapport aux pertes réelles, afin d’assurer la fiabilité de ces scénarios. - Exigence des facteurs d’environnement internes : mettre en place une méthodologie pour
prendre en compte les facteurs de l’environnement opérationnel et de contrôle interne susceptible de modifier le profil des risques. Ils affectent à chaque facteur une pondération, sur la base de l’avis des experts des secteurs d’activité concernés. Le processus de prise en compte de ces facteurs et de leurs résultats est régulièrement validé et évalué par comparaisons aux donnés internes et externes de pertes. Lorsque Bank AL-MAGHRIB juge qu’un établissement ne respecte plus les exigences minimales ci-dessus, elle peut refuser de continuer à utiliser l’AMA pour une partie ou pour l’ensemble de ses activités et lui demander d’adopter soit l’approche indicateur de base soit les approches standards. Les établissements qui adoptent l’AMA ne peuvent plus revenir à l’approche indicateur de base ou aux approches standards à moins que Bank AL Maghreb n’ait retiré son autorisation pour l’application de la première approche ou qu’ils présentent un motif dûment justifié. - 60 -
Secti on 3 : Evaluati on de la dé marche de gesti on des risques opé rationnels de la Banque Populair e
L’objectif de cette analyse est d’évaluer le degré de conformité de dispositif actuel avec les exigences réglementaires. L’évaluation se base sur des critères issus des documents du comité Bâle et repris par BAM. Les critères d’évaluation concernent tout le dispositif et touchent les aspects de l’organisation et les outils de Gestion des RO. 1. Les exigences réglementaires : 1.1Système d’identification et de mesure des risques opérationnels 45:
Pour identifier et évaluer leurs risques opérationnels les établissements peuvent recourir aux techniques suivantes :
Auto-évaluation (control self assessment) : Les opérations et les activités de l’établissement sont évaluées sur la base de l’examen d’un ensemble de points potentiellement exposés aux risques opérationnels. Les différents types d’expositions aux risques opérationnels font l’objet d’un classement sur la base d’une matrice de scoring qui prend en considération les instruments d’atténuation de ces risques. La matrice en question permet de convertir les évaluations qualitatives en mesures quantitatives et de recenser les risques propres à une activité donnée.
Cartographie des risques : dans le cadre de ce processus, les diverses unités, fonctions organisationnelles et chaînes d’opérations sont déclinées en catégories de risques opérationnels, permettent ainsi à l’organe de direction d’identifier les zones de risques et d’établir des prior ités pour les actions à entreprendre.
Indicateurs de risque : établis sur la base de statistique et/ou de diverses mesures, souvent à caractère financier, les indicateurs de risque (nombre d’opérations non exécutées, mobilité des effectifs, fréquence et/ou gravité des erreurs et omissions,…) donnent une idée sur l’exposition de l’établissement aux risques opérationnels.
1.2Suivi des risques opérationnels 46:
Les établissements mettent en place un outil de suivi des pertes opérationnelles et des indicateurs d’alerte avancés (KRI) qui leur permettent d’identifier les sources potentielles de risques opérationnels. Ces indicateurs comportent généralement des seuils dont le dépassement déclenche la mise en œuvre d’actions préventives. Le suivi des risques opérationnels doit faire partie intégrante de l’activité de l’établissement. La périodicité de ce suivi est adaptée aux risques ainsi qu’à la fréquence et à la nature des changements de l’environnement opérationnel. 45
La circulaire de Bank al Maghreb n°29/G/2007. La circulaire de Bank al Maghreb n°29/G/2007.
46
- 61 -
Les départements de l’entité (chargé des risques opérationnels, l’audit, les unités opérationnelles,…) établissent régulièrement des rapports sur les risques opérationnels. Ces rapports intègrent les données internes, ainsi que les informations externes relatives aux événements et conditions susceptibles d’influencer le processus de décision. L’organe de direction vérifie régulièrement la rapidité, l’exactitude et la pertinence des systèmes de repo rting et des contrôles internes pour s’assurer de l’exhaustivité et de la fiabilité de ces rapports. Les établissements mettent en place des processus et procédures de contrôle, ainsi qu’un système assurant la conformité des opérations à un ensemble de politiques internes dûment documentées. Les politiques et les procédures, doivent être appuyés par une solide culture de contrôle favorisant la mise en œuvre de pratiques saines de gestion des risques opérationnels. 1.3Maîtrise et atténuation des risques opérationnels 47:
Les établissements veillent à adopter des pratiques internes visant à assurer la maîtrise et l’atténuation des risques opérationnels, telles que :
Le suivi attentif du respect des limites et seuils de risque fixés ;
La sécurisation
de l’accès aux patrimoines et archives de l’établissement et de leur
utilisation ;
La mise à niveau des compétences et de la formation des agents ;
L’identification des activités et produits dont le rendement paraît disproportionnée par rapport à des attentes raisonnables ;
La vérification et le rapprochement réguliers des opérations et des comptes.
Les activités externalismes font l’objet de politiques appropriées de ges tion des risques. Le recours à ces activités ne diminue pas la responsabilité des organes d’ administration et de direction. Les contrats d’externalisation doivent être solides et reposer sur des conven tions de service assurant une répartition claire des responsabilités entre le prestataire de service externe et l’établissement. 1.4Contrôle de système de GRO : 48
Les établissements mettent en place un système d’audit interne qui vérifie périodiquement que le dispositif de gestion des risques opérationnels est mis en œuvre avec efficacité au niveau de l’ensemble de l’établissement. La fonction d’audit interne peut fournir
des indications
précieuses aux personnes responsables de la gestion des risques opérationnels, mais elle ne doit pas être, elle-même, chargée de responsabilités directes à cet égard.
47
La circulaire de Bank al Maghreb n°29/G/2007. La circulaire de Bank al Maghreb n°29/G/2007.
48
- 62 -
2. Dispositif de gestion des risques opérationnels de la Banque populaire : 2.1Volet du Système d’identification et de mesure des risques opérationnels 49:
Pour identifier et évaluer les risques opérationnels, le groupe gère ses risques par deux outils, l’auto-évaluation et la cartographie. 2.1.1L’auto-évaluation (control self-assessment):
Le control self assessment se veut un outil de mesure de la qualité du dispositif de maîtrise des risques. Cette mesure serait réalisée avec le contrôle interne de chaque domaine via un questionnaire d’autoévaluation. La finalité de cet outil étant d’aider les fonctions à savoir le niveau de maîtrise de leurs risques et permettra le suivi des plans d’action relatifs à la réduction des risques. Actuellement, un outil permettant de supporter ce processus est en cours de développement au niveau de la DRO. 2.1.2 La cartographie : Elle a pour objet d’identifier, d’évaluer, de classer, de comparer et de
hiérarchiser les risques susceptibles d’impacter une ligne métier donné et/ou une entité. Les travaux ont été réalisés avec et par les responsables d’activité à partir d’analyse d’impact à dire d’expert. La procédure décrivant la méthodologie d’éla boration de la cartographie stipule que : - Les acteurs se prononcent pour chaque événement :
l’impact potentiel d’un tel risque. son niveau de fréquence, d’apparition. l’appréciation du degré de maîtrise de ce risque par l’entité.
- Un premier découpage des processus métiers et supports. - la
cartographie des risques opérationnels est formalisée et validée avec la fonction ou le métier
concernés. - Les
cartographies sont par défaut dynamiques et par conséquent doivent faire l’objet d’une
actualisation régulière. 2.2Volet de Suivi des risques opérationnels 50:
Le suivi des risques opérationnels est pratiqué à travers des outils qui sont la collecte des incidents et les indicateurs d’alerte avancés (KRI) qui ne sont pas encore existés au sein de la Banque Populaire. La base des incidents est la clé de voûte du dispositif de gestion des risques opérationnels. Il existe une procédure décrivant la méthodologie de la collecte des incidents stipule que : - La collecte des informations par le CRO 49
La charte de gestion des risques opérationnels de Groupe Banque Populaire. La charte de gestion des risques opérationnels de Groupe Banque Populaire.
50
- 63 -
- Saisie de l’incident, par le CRO, au niveau de l’outil informatique. - Validation de la déclaration par le RCRO (responsable des correspondants du risque opérationnels) - Analyse de la déclaration par le MRO (Manager des risques opérationnels) - Contrôle de la déclaration par la DRO (direction des risques opérationnels) - Suivi mensuel des incidents La dite méthodologie permet de : - Accompagner les utilisateurs dans la gestion des incidents sur leur périmètre propre ; - Caractériser les incidents, en évaluant notamment les impacts financiers y afférents ; - Analyser l’évolution des profils de risque en utilisant notamment les reporting associés; - Disposer de tableaux de bord de pilotage des risques opérationnels ; - Collecter et d’historier les données permettant de quantifier les risques opérationnels, d’allouer les fonds propres et d’intégrer la composante « Assurance » dans le dispositif. L’alimentation de la base des incidents est un pré requis absolu afin que le Groupe dispose de bases de données répondant aux critères d’agrément (en méthode standard et avancées) et suffisantes pour modéliser les risques opérationnels et ainsi avoir les moyens pour l’utilisation à terme de la méthode avancée « AMA ». 2.3 Volet de Maîtrise et atténuation des risques opérationnels 51:
Le Groupe Banque Populaire met en place un dispositif de maîtrise des risques. Plusieurs types d’attitudes peuvent être envisagés pour la maîtrise et atténuation des risques opérationnels, parmi ces attitudes qui sont mets en place par le Groupe il y a : - Dispositif Globale de contrôle interne - Sécurité des systèmes d’information - Sécurité physique (Biens et Processus) - Plan de continuité d’activité - Assurances - Adéquation des compétences et systèmes de rémunération. 2.4 Volet de mesure de l’allocation des fonds propres 52:
L’objectif du groupe est de quantifier et allouer les fonds propres en retenant dans un premier temps la méthode « Indicateur de base » et par la suite la méthode standard pour converger vers la méthode avancée « AMA » à l’horizon de 2012.
51
La charte de gestion des risques opérationnels de Groupe Banque Populaire. La charte de gestion des risques opérationnels de la Banque Populaire.
52
- 64 -
3. Les insuffisances : Le dispositif est soumis à des évaluations de conformité sur la base des critères d’adoptio n des approches avancées de BAM et des outils de gestion des risques opérationnels. Après cette évaluation, les insuffisances observées se résument comme suit :
3.1 Volet d’organisation : - Absence de définition d’une feuille de route pour la mise en œuvre des exigences
réglementaires et le passage aux méthodes avancées. Les activités menées ne sont pas coordonnées dans un cadre projet/ programme intégré. - Absence de coordination avec les autres fonctions de contrôle concernées par la gestion des
risques Audit/ Comptabilité/ Juridique/ Qualité. - A bsence d’un cadre commun de travail entre la fonction RO et Audit en termes de contrôle de
risques.
3.2 Volet du système d’identification et de mesure des ris ques opérationnels : Les activités d’identification & évaluation sont réduites à la mise en place de la cartographie (outil de gestion). L’activité est en manque de cadre méthodologique adapté, et une définition de cadre de mise en œuvre. La nuance réside dans la capacité de reconduite de cet exercice de cartographie dans la périodicité recommandée par BAM. Ainsi, La méthodologie actuelle de cartographie ne permet pas de tenir les exigences réglementaires en termes de périodicité de mise à jour. A noter aussi l’absence d’un système de reporting porteur de décision : la commission des risques opérationnels n’est plus d’actualité et ne remplit pas sa mission de décisions sur les problématiques majeures.
3.3 Volet de suivi des risques opérationnels : La collecte des incidents n’a pas encore atteint un niveau de maturié pour des raisons organisationnelles : manque d’implication des responsables des métiers (ces responsables considèrent la déclaration des incidents comme signe de défaillance). Il n’existe pas un suivi prospectif des RO (Absence d’indicateurs d’exposition KRI). Ce suivi n’est pas réalisé à cause de l’absence de cadre méthodologique et des outils de suivi. A noter aussi l’absence d’une définition des risques majeurs à piloter dans le cadre de la cartographie.
3.4 Volet du système Maîtrise et atténuation des risques opérationnels : Le rôle de la fonction RO dans la définition des conditions d’assurance et dans la conception du PCA, et la maîtrise/ atténuation des RO ne sont pas effectives. I l n’existe aucune définition des réponses aux risques.
- 65 -
3.5 Volet de mesure de l’allocation des fonds propres : Le projet relatif à la ventilation du PNB – condition sine qua non pour le calcul d’allocation selon les méthodes avancées - était abandonné. (Annexe3). Ajoutons à cela l’absence d’un cadre de réflexion sur l’exploitation des outils/ données de calcul d’allocation des FP AS/AMA, et d’un planning pour passer à l’AMA.
4. Recommandations : Après une évaluation du dispositif de gestion des risques opérationnels du Groupe Banque Populaire par rapport aux exigences réglementaires de Bank AL Maghreb, et après la détermination des insuffisances de Groupe en matière de GRO, il est opportun de présenter quelques recommandations pour combler aux dites insuffisances.
4.1 Volet d’organisation : Pour réponde aux insuffisances dans ce volet, il est recommandé de : - Intégrer la fonction PCA dans le périmètre de gestion de l'entité RO pour couvrir non
seulement les activités à priorité critiques mais aussi toutes les activités critiques. - Formaliser une procédure/circulaire relatant les missions et le cadre de travail entre la
fonction RO et audit en termes de contrôle des risques. - Formaliser une procédure/circulaire pour créer une coordination avec les autres fonctions de
contrôle concernés par la gestion des risques Audit/Comptabilité/Juridique/Qualité.
4.2
Volet de système d’identification et de mesure des risques opérationnels :
Pour mettre en place un cadre méthodologique du processus d'identification/ évaluation des risques, il est recommandé de : - Elaborer un plan de réalisation des MAJ de la cartographie avec les experts métiers en début
d’année. - Classer les risques à piloter dans la cartographie. - Cartographier les facteurs des risques. - Elaborer un cadre méthodologique d'exploitation des données self dans la cartographie. - Développer l'outil de gestion du self assessment. - Déployer le self assessment sur le périmètre de groupe. - Mettre en place un guide de contrôle de la qualité de données et mesure d'exhaustivités. - Mettre à jour la base documentaire du processus d'identification/ Evaluation des risques. - Formaliser une procédure/circulaire relatant les obligations de reporting de chaque acteur du
dispositif de gestion RO. - Formalisation du cadre méthodologique de l’entretien avec les experts de métier pour
harmoniser les méthodes de travail des managers risques opérationnels: - 66 -
Le cadre méthodologique de l’entretien avec les experts de métier a était élaboré en concertation avec le gestionnaire des risques opérationnels de la Banque Populaire. Ce cadre est composé par un ensemble de phases (Schéma: la figure 11). Le Gestionnaire Risques Opérationnels procédera à l’animation des ateliers d’identification et d’évaluation des risques, après la validation de découpage des processus. Cet exercice de cartographie sera réalisé avec les opérationnels « Experts Métiers » des entités concernées. Ces ateliers ont pour objectifs, d’identifier et de formaliser les événements de risques relatifs aux processus préalablement définis. Et de les évaluer au moyen d’une fréquence d’occurrence et d’un impact (sinistralité). Lors de la séance d’ouverture avec les experts, le gestionnaire des risques opérationnels présentera la démarche à suivre, les objectifs et le planning, les étapes de construction de la cartographie, les documents de travail (Référentiels : Nomenclature RO – Nomenclature des conséquences RO…) et les échelles de cotations à utiliser. Par la suite l’entretien sera mené en deux ateliers complémentaires : l’identification et l’évaluation des risques. a. Atelier d’identification des risques :
Le recensement des événements de risque attachés aux processus de l’entité s’inscrit dans une démarche participative qui s’appuie sur la connaissance et l’expérience des opérationnels en charge des processus à savoir les experts. Pour chaque processus, au cours d’entretiens, ces experts vont identifier les événements de risque et les aléas qui peuvent remettre en cause le bon fonctionnement du processus. A préciser que la discussion abordera l’évènement de risque à travers les trois éléments qui le composent : le risque, la cause et les conséquences. Exemple d’évènement de risque : Evènement de risque Erreur
de
constitution garanties
la
Cause
catégorie
Défaillance des experts de métie Exécution, Livraison et
des
gestion des processus
entrainant
Conséquences Défaillance dans la gestion des
sûretés
et
des
garanties : perte de fonds
leur nullité.
en cas de défaut client.
b. Atelier d’évaluation des risques :
L’évaluation de l’événement de risque prend en compte une cotation historique, une cotation prospective et une évaluation du dispositif de contrôle existant. La cotation historique
permet de faciliter la cotation prospective des événements de risques : Pour un opérationnel, il est plus facile d’évaluer un événement de risque à travers le vécu. Ensuite, à partir de cette
- 67 -
cotation historique, l’expert avec l’aide du GRO doit déduire si la situation peut se dégrader ou pas lors des 12 prochains mois.
La Cotation historique :
- Fréquence : l’événement de risque est-il déjà survenu ? Si oui, combien de fois dans le passé ? - Impact financier : Quel coût la survenance de l’événement de risque engendre-t-elle en
moyenne (sur un seul événement) ? - Scénario défavorable : De par le passé, dans une situation très défavorable, la survenance de
l’événement de risque a-t-elle engendré un coût exceptionnel ?
La Cotation prospective :
- Fréquence : Combien de fois l’événement de risque pourrait-il survenir dans les 12 prochains
mois ? - Sinistralité : En moyenne, Quel serait le coût induit par la survenance de l’événement de risque
dans le futur (sur un événement) ? - Scénario défavorable : À partir de la cotation historique, quelle sera l’évolution de la situation ?
La cotation du dispositif de contrôle existant :
Il s’agit de qualifier pour chaque événement de risque, le dispositif de contrôle existant, destiné à limiter l’occurrence ou les effets de l’occurrence du risque à savoir :
Se focaliser sur les contrôles la plus prioritaires.
Discuter, en détail avec « l’expert métier » les changements significatifs sur les contrôles (lise préparée) ainsi que leurs impact sur le risque. Essayer de recenser l’ensemble des contrôles par nature «Check -list » :
Tableau 10 : la typologie des contrôles Nature de contrôle
Description
Efficacité
Degré d’application
Prévention
Points de contrôle/Procédures formalisées Points de contrôles non formalisés Organisation/Répartition des tâches
Protection
PCA Dispositif d’assurance Externalisation
Au terme des ateliers, une séance de validation de l’ensemble de la cartographie lié au processus doit être organisée en présence des responsables hiérarchiques dans l’objectif de présenter les risques majeurs, les principaux plans d’action et leur planning de réalisation, la date de la prochaine compagne d’évaluation. - 68 -
Les phases de ce cadre méthodologique sont schématisées dans la figure 11 : Phase
Points à traiter
Préparation de
Anciennes versions de la cartographie RO
Livrables
Liste préparatoire des risques
l’entretien
Rapports de contrôles et d’audit des 2
« Se documenter »
dernières années
Journal incident des 2 dernières a nnées
Changements significatifs sur les contrôles
Nomenclature Risques Groupe
Projets d’organisation « Encours »
Séance d’ouverture : Présentation de la démarche+objectifs+planning
Identification des
Formulation du risque
Support de la cartographie
risques
des risques Identification de la cause
Recensement des conséquences
Evaluation des risques
Cotation historique (impact et fréquence)
Cotation prospective (Impact et fréquence)
Evaluation des Contrôles existants
Séance de validation : Risques majeurs, plans d’actions (Acteurs+planning de réalisation)
Figure 10 : processus de préparation de l’entretien avec les experts de métier
- 69 -
4.3 Volet du système de suivi des risques opérationnels : Pour mettre en place un cadre méthodologique du processus de suivi des risques, il est recommandé de : - Mettre en place des compagnes de collecte des incidents. - Elaborer un cadre d'échange d'information avec les fonctions comptable/ juridique/ qualité/
audit. - Elaborer la base des indicateurs RO (Annexe 5 : Exemple de Processus de gestion des crédits). - Elaborer un cadre d'échange d'information avec les fonctions Organisation/ Contrôle de
gestion. - Mettre en place un suivi prospectif des RO par l’élaboration d’un outil des indicateurs d’alertes
avancés.
4.4
Volet du système de maîtrise et atténuation des risques opérationnels :
Pour mettre en place un cadre méthodologique du processus d'atténuation des risques, il est aussi recommandé de : - Coordonner la revue de la politique d'assurance avec la fonction Assurance. - Elaborer une procédure de transfert de risque par l'assurance. - Mettre en place un système de suivi de la mise en œuvre des recommandations d'atténuation
de risques. - Elaborer un plan de couverture en PCA pour les activités critiques. - Tester la robustesse du dispositif PCA. - Traiter les risques selon la logique décrite au tableau ci-dessous. En plus de contrôle de
prévention, il est recommandé de s’assurer de l’existence d’une assurance qui permet de couvrir les risques, d’un PCA comme un contrôle de protection et de bon fonctionnement d’une adéquation des compétences et systèmes de rémunération.
- 70 -
Tableau 11 : les éléments de dispositif de maîtrise des risques et les catégories des risques opérationnels 1
DMR
Prévention
Protection
2
Fraude
Fraude
interne
Externe
3
Pratiques matière emploi
4
5
6
Produits
Dommages
Interruption
Pratiques
actifs corporels
d’Activité
X
X
X
X
X
X
X
Clients
commerciales
7
Exécution, livraison processus
Dispositif global de contrôle interne
X
X
X
X
X
X
X
X
X
X
X
X
dont limites Sécurité des systèmes d’information Sécurité physique (biens et
X
personnes) Plan de continuité
X
d’activité Assurances
X
X
X
X
X
X
Adéquation de compétences et Systèmes de
X
X
X
rémunération.
4.5 Volet de mesure de l’allocation des fonds propres : Pour mettre en place un cadre méthodologique du processus de mesure d'allocation des fonds propres, il est recommandé de : - Réaliser la ventilation du PNB (annexe 3 : principe de ventilation entre lignes de métier). - Entamer la réflexion sur l'allocation des pertes résultant des fonctions centrales (un premier
essai de modélisation). - Entamer la réflexion sur le traitement des pertes frontières (pour éliminer RC frontières). - Entamer la réflexion sur l'exploitation des données de pertes externes. - Entamer la réflexion sur la méthode des scénarios. - Entamer la réflexion sur l'utilisation des facteurs d’atténuation pour le calcul des FP.
- 71 -
La mise en œuvre au Maroc de normes prudentielles plus exhaustives et plus spécifiques constitue un apport indéniable à la sécurité du système financier dans sa globalité. Ce processus long et très sensible est encore à ses débuts. Si l’ensemble des banques de détail s’accorde pour reconnaître l’intérêt du nouvel accord de Bâle sur les fonds propres, les implications concrètes sont cependant souvent perçues comme des contraintes réglementaires supplémentaires qui requièrent la mise en place de dispositifs spécifiques et coûteux. Les premières applications de ces normes sont apparues délicates et couteuses pour certains établissements, mais il s’est avéré aussi que des défaillances dans la surveillance des risques bancaires sont encore plus couteuses et plus délicates à redresser. Au sein du Groupe Banque Populaire, la direction des risques opérationnels est récente et son objectif est de répondre aux normes de Bâle II en termes de risques suite aux directives publiées par Bank Al Maghreb et aux procédures établies par le Groupe. Dans ce sens, la Banque Populaire calcule le risque opérationnel selon l’approche de base et vise l’application de l’approche avancée dans sa politique afin de se conformer aux exigences réglementaire. Pour ce faire elle a mis en place un dispositif de collecte des incidents pour constituer un historique et une cartographie des risques Cependant l’absence de
développement et de
l’amélioration de ces outils est considérée comme une contrainte pour passer à une approche avancée plus rentable mais plus couteuses. Il reste à déterminer des facteurs de risques et des scénarios d’événements de pertes afin d’aboutir à une distr ibution des pertes en utilisant des modèles statistiques.
- 72 -
Akim Agnaou « La gestion du risque opérationnel application à la lutte contre la fraude en milieu bancaire » Mémoire pour l'obtention du graduat en comptabilité Année académique 2007-2008 institut des carrières commercial Bruxelles.
Circulaires de Bank AL Maghreb N°26 /G/2006, N°08/G/2010, N°40/G/2007 et N° DN29/G/2007
Charte de gestion des risques opérationnels de Groupe Banque Populaire.
Comité de Bâle, Extrait du texte réglementaire définitif- « Convergence internationale de la mesure et des normes de fonds propres »2006.
Comité de Bâle, « les saines pratiques pour la gestion et la surveillance du risque opérationnel », Février 2003.
Comité de Bâle sur le contrôle bancaire « Gestion du risque opérationnel » oct 1998.
Dehan helan
« La quantification du risque opérationnel des institutions bancaires » Thèse de
doctorat, avril 2007.
Dov Ogien, comptabilité et Audit Bancaires, 2e édition, DUNOD, 2008.
Fédération marocaine des sociétés d’assurances et de réassurance, « Guide d’assurance de la PME au Maroc » la Conférence des Nations Unies pour le Commerce et le Développement (CNUCED) ,2010.
FIGUIGUI Badr; A. (2007) L’audit systémique, un outil d’efficacité du risk management, Mémoire ISCAE.
Jezzini mohamad doctorant, Revue de la littérature : risque opérationnel, janvier 2005.
Jimenez christian ; patrick Merlier ; Dan Chelly « Risques opérationnels, de la mise en place du dispositif à son audit »; éditeur Revue Banque 2008.
Livret d’accueil de la Banque Populaire 2010.
Mesmer Philippe. Le MONDE 14 décembre 2005.
Rousse Philippe, « Les risques opérationnels d’un assureur vie » Ecole nationale d’assurance, Thèse professionnelle, soutenue en avril 2009.
Rapport d’activité annuel de BANK ALMAGHRIB 2010
R apport d’activité annuel 2010 du Groupe Banque Populaire.
Rapport d’Ambassade de France au Maroc, missions économiques, « Le secteur bancaire au Maroc » fiche de synthèse MINEFI-DGTPE, 7 décembre 2005.
Rapport de la Commission européenne « Deuxième document consultatif des services de la commission sur la révision des exigences de fonds propres réglementaires applicables aux établissements de crédit et aux entreprises d’investissement, 2001.
- 73 -
Pascal lele docteur université laval québec, « Guide pratique de comptabilité de gestion du risque opérationnel et du risque de contrepartie » entreprise risk management – internal insurance, 01 SEPTEMBRE 2007.
Pirus Jean-François « L’analyse des risques opérationnels : un enjeu qui dépasse le secteur bancaire » ,2004.
Skaita Mohammed et Sajid Najib, Année (2008), « la gestion du risque de crédit : cas Attijariwafa Bank », Mémoire ISCAE.
société E-FOOLKY « Proposition pour la création d’un site de gestion de projet » 23/01/2009.
Societé optimind, « Risques opérationnels, Quelles réponses face à un risque difficle à appréhender ? », Avril 2011.
SOLHI Sanae. A. (16-18 décembre 2006) « Libéralisation financière et croissance économique au Maroc : essai de modélisation » ; 13th annuel conférence ERF, OIL.
www.amd-conseil.fr AMD conseil : cabinet de conseil spécialisé dans les nouvelles technologies en environnements bancaires et financiers.
www.bis.org Banque des règlements internationaux.
www.bkam.ma
www.finance.sia-conseil.com « les clés de la gestion des risques opérationnels »
www.gbp.ma
www.lemonde.fr
- 74 -