La fraude UBS dénote des faiblesses dans les chaînes de traitement

le 03/11/2011 L'AGEFI Hebdo

Malgré les efforts déployés pour centraliser les alertes et responsabiliser les managers des salles de marché, les dispositifs sont fragilisés par trop d’interventions manuelles.

Plus de trois ans après l’affaire Kerviel, la fraude d’un trader londonien chez UBS révélée le 16 septembre, qui a coûté plus de 2 milliards de dollars à la banque suisse, a ravivé les craintes quant aux risques de malversations dans les salles de marché. D’après l’établissement financier, Kweku Adoboli a dépassé les plafonds de risque autorisés sans que les systèmes ne le détectent, en ouvrant des positions fictives de couverture.

Cette fraude rappelle étrangement celle de Jérôme Kerviel en janvier 2008 : les deux traders travaillaient dans un service d’arbitrage et ont utilisé le même mode opératoire, en mettant en place des positions fictives pour couvrir des positions réelles. Leur profil est similaire puisqu’ils ont été promus du back-office au front-office trois ans avant leur fraude respective, ce qui les a aidés à maîtriser et à mésuser des systèmes.

« La problématique est davantage liée à l’organisation qu’aux systèmes d’information », juge toutefois Jean-Luc Biache, président de la société de services Asset Technology, spécialisée dans les banques de financement et d’investissement et dans la gestion d’actifs. Les rapports de force entre services continuent de privilégier ceux qui génèrent directement du P&L (profit and loss). « L’emprise du front-office sur le back-office et les risques est parfois telle que les ‘traders’ fournissent des explications parcellaires en estimant qu’elles sont suffisantes », déplore ainsi Jean-Luc Biache.

Les systèmes informatiques sont toutefois également en cause. « Dans certaines banques, on trouve encore des faiblesses dans les chaînes de traitement, indique Karim Blanc, directeur des solutions de gestion des risques chez l’éditeur de logiciels Misys, qui propose la solution Eagleye (voir le schéma). En général, la ligne ‘front-to-back’ est sécurisée, mais la ligne ‘front-office-middle-office-risques’ est affectée par davantage d’interventions manuelles. »

Des investissements insuffisants

En mai 2008, le cabinet Pricewater-houseCoopers avait rédigé un diagnostic sur les circonstances de la fraude de Jérôme Kerviel, dénonçant des faiblesses de moyens humains et informatiques. Côté systèmes, le cabinet dénonçait l’insuffisance des investissements réalisés, si bien que les traitements manuels restaient trop nombreux. « Même si la fraude ne trouve pas son origine dans les dysfonctionnements des systèmes d’information, précise PricewaterhouseCoopers, son analyse a mis en évidence des faiblesses au niveau de l’environnement informatique, et notamment de la sécurité informatique. »

Les systèmes d’information ont clairement un rôle à jouer dans la prévention et la détection de malversations. Depuis l’affaire Kerviel, les banques ont investi pour accroître la pertinence et la réactivité des systèmes de contrôle. Elles ont également amélioré leurs indicateurs visant à mesurer finement les positions d’arbitrage. Par exemple, les risques ne mesurent plus uniquement le solde entre les achats et les ventes, mais le nominal de chaque position. Des applications surveillent les transactions non confirmées ou émettent des alertes sur les opérations modifiées en cours de vie. « Certaines alertes dépendent d’un seul système, mais d’autres font appel à des rapprochements entre deux ou plusieurs systèmes (front-office, middle-office, back-office...), rapporte Karim Blanc. Les liens entre systèmes existaient auparavant, mais les banques ont réduit leur tolérance envers les écarts non expliqués, et renforcé la surveillance et l’analyse de ces écarts. » Grâce à toutes ces mesures, « dans des conditions de volume et de volatilité de marché normales, la probabilité d’occurrence de fraude type Kerviel ou UBS a certainement chuté », concède Jean-Luc Biache.

Contrôle détaillé

Société Générale, en première ligne sur ce sujet sensible, avait lancé, au lendemain de l’affaire Kerviel, un plan Fighting Back d’un montant de 150 millions d’euros visant à renforcer les contrôles opérationnels, dont 55 millions pour renforcer la sécurité informatique. Elle a mis en place un système automatisé de gestion des comptes utilisateurs, sur la base de profils standards. Des « responsables de la certification » gèrent, au sein de chaque département, les autorisations, renouvellements et suppressions de comptes. Les accès en écriture du front-office sur les applications du middle-office ont été rendus impossibles, de même que la possibilité de se connecter automatiquement aux applications via des mots de passe enregistrés au sein de feuilles de calcul. D’après Société Générale, plus de 300 applications de la banque sont à présent connectées à un système centralisé d’authentification. L’accès aux systèmes nécessite, pour l’utilisateur, de présenter sa carte à puce personnelle et de saisir un mot de passe. Enfin, la traçabilité des actions passées dans les applications a été renforcée.

Si les efforts réalisés par les banques sont indéniables, l’affaire UBS rappelle sans concession qu’elles ne sont pas allées assez loin. « On ne peut pas annihiler, mais on peut limiter la probabilité d’occurrence d’une telle fraude, martèle Jean-Luc Biache. Dès qu’un risque de marché est repéré, par exemple une limite dépassée, il faut en profiter pour vérifier, dans le détail et en relation avec les différents services concernés qu’il n’y a pas un risque opérationnel en prime, par exemple des positions fictives de couverture. » L’expert prône aussi une professionnalisation des services de risques, qui doivent mieux maîtriser les aspects informatiques : « Ces services disposent en général de compétences fortes en finance, mais maîtrisent moins bien les processus logistiques de back-office, générateurs de risques opérationnels. » Enfin, la mise en place d’équipes transversales de gestion de risque ne suffit pas si l’effort n’est pas mené localement : « Chaque équipe doit être mobilisée pour assurer le respect des règles d’accès aux données et de remontée d’information. Les managers des ‘traders’ doivent être évalués dans leurs capacités à gérer le risque, et pas seulement à générer du résultat. »

A lire aussi