Dossier Contrôle des risques

Une reconnaissance croissante du risque opérationnel depuis cinq ans

le 18/10/2012 L'AGEFI Hebdo

Son inclusion dans les exigences de fonds propres a constitué une grande nouveauté réglementaire.

Janvier 2008, Société Générale découvre une position non autorisée de 50 milliards d’euros accumulée par Jérôme Kerviel, alors que ses fonds propres s’élèvent à… 23,5 milliards. Le spectre de la faillite de Barings, en 1995, causée par le « brigand » (rogue trader) Nick Leeson, ressurgit. Extrêmes, ces cas constituent des « risques opérationnels » auxquels Bâle II, mis en place en 2008, a accordé un traitement nouveau.

Risques de pertes dus à un processus interne défaillant (analyse ou contrôle incomplet, procédure non sécurisée), à un système inadéquat (panne informatique), une erreur, une malveillance, une fraude de personnel, ou à des éléments externes (inondation, incendie, etc.) : tous ces risques opérationnels entrent désormais dans le calcul des fonds propres. Fin 2011, Crédit Agricole SA (CASA) y consacrait 1,8 milliard, tandis que BNP Paribas mettait 4,4 milliards en face de ce qui représente 9 % de ses actifs pondérés.

Les banques doivent ainsi calculer le montant de capital nécessaire pour couvrir 99,9 % de leurs risques opérationnels en cas de perte maximale, avec des scénarios catastrophes. Trois approches, par ordre croissant de complexité et de sensibilité au risque, existent : une « de base », selon le produit net bancaire moyen des trois derniers exercices, une « standard », par ligne de métiers, et une « avancée » s'appuyant sur des modèles internes. Toutes sont soumises à une acceptation du régulateur. Ainsi, la méthode d’évaluation de BNP Paribas ou de CASA a été homologuée sur un périmètre de groupe en 2008, mais a nécessité une nouvelle demande pour être utilisée sur les principales entités issues de Fortis pour l’une ou chez Cariparma et FriulAdria pour l’autre.

Processus et capital

Les grandes banques, en approche avancée, disposent d’un système de collecte des pertes opérationnelles, segmentées, avec leur fréquence et leur sévérité, pour constituer une courbe qui s’enrichit d’année en année. Elles constatent des pertes essentiellement liées à l’exécution, la livraison et la gestion des processus (41 % pour BPCE ou 35 % pour CASA) ou à la fraude externe (37 % pour BNP Paribas ou 32 % pour Société Générale). Bien sûr, les fraudes aux moyens de paiement ou de crédits en banque de détail, de petits montants, sont bien plus fréquentes que le rogue trading. Celui-ci ne constitue d’ailleurs qu’un scénario, comme un risque d’attentat ou d’attaque informatique, dans les établissements qui ne l’ont pas vécu (en outre Société Générale donne une répartition de ses risques opérationnels par catégories hors « perte sur activités de marché non autorisées et dissimulées »). La part de fonds propres exigés est alors relativisée selon la qualité des procédures et des mesures de contrôle.

La vigilance des services d’audit interne des banques et de l’Autorité de contrôle prudentiel (ACP) n’a fait que croître ces dernières années. Chez BNP Paribas par exemple, 70 personnes étaient chargées du contrôle permanent et risque opérationnel en 2006. Elles sont maintenant 394 en « seconde ligne de défense », la première (environ 400 personnes) étant affectée depuis 2010 aux entités opérationnelles. De son côté l’ACP veille au fil de missions de trois à six mois, d’entretiens de surveillance rapprochée trois ou quatre fois par an ou d’inspections thématiques, par départements ou activités. La tendance est d’autant moins au relâchement qu’UBS a révélé en septembre 2011 un autre « rogue trading ». L’affaire Kerviel pèsera ainsi encore longtemps sur les fonds propres de Société Générale.

A lire aussi