Blog Post LE COMITÉ DE BÂLE MET À JOUR LES PRINCIPES POUR UNE GESTION EFFICACE DU RISQUE OPÉRATIONNEL


Juin

18

2021

LE COMITÉ DE BÂLE MET À JOUR LES PRINCIPES POUR UNE GESTION EFFICACE DU RISQUE OPÉRATIONNEL

Evelyne Ngnotue, 18/06/2021

1. Le contexte de la révision

1.1. Une révision des principes visant a resensibiliser les banques sur la correcte mise en œuvre des principes existants

Le Comité de Bâle a publié en 2003 une première version de ses principes pour une gestion efficace du risque opérationnel. Ces principes ont été révisés en 2011 pour intégrer les leçons tirées de la crise financière de 2007–2009.

En 2014, le Comité a procédé à un examen de la mise en œuvre de ces principes. Le but de cet examen était :
– d’évaluer dans quelle mesure les banques avaient mis en œuvre les principes
– d’identifier les lacunes importantes dans la mise en œuvre
– de mettre en évidence les pratiques émergentes et remarquables de gestion des risques opérationnels dans les banques qui ne sont pas actuellement couvertes par les principes

L’examen de 2014 a révélé que plusieurs principes n’avaient pas été correctement mis en œuvre et que des guidelines supplémentaires seraient nécessaires pour faciliter leur mise en œuvre dans les domaines suivants :
– les outils d’identification et d’évaluation des risques, y compris les auto-évaluations des risques et des contrôles (RCSA), les indicateurs de risque clés, les données externes sur les pertes, la cartographie des processus commerciaux, l’analyse comparative et le suivi des plans d’action générés à partir de divers outils de gestion des risques opérationnels
– les programmes et processus de gestion du changement (et leur suivi efficace)
– la mise en œuvre des trois lignes de défense, notamment en affinant l’attribution des rôles et des responsabilités
– la surveillance du conseil d’administration et du top management
– l’articulation de l’appétit pour le risque opérationnel et des déclarations de tolérance au risque dans le cadre du RAS (Risk Appetite Statement)
– les informations transparentes publiées sur les risques dans le cadre du pilier III

1.2. Une révision des principes visant à prendre en compte les thèmes insuffisamment couverts comme les risques ICT et la résilience opérationnelle

Le Comité a également reconnu que les principes publiés en 2011 ne saisissaient pas suffisamment certaines sources importantes de risque opérationnel, telles que celles découlant des risques liés aux technologies de l’information et de la communication (ICT), justifiant ainsi l’introduction d’un principe spécifique sur les risques liés aux ICT.

D’autres révisions ont été apportées pour assurer la cohérence avec le nouveau cadre de risque opérationnel dans les réformes de Bâle III.
Reconnaissant le potentiel accru de perturbations significatives des opérations bancaires en raison de pandémies, de catastrophes naturelles, d’incidents de cybersécurité destructeurs ou de défaillances technologiques, le Comité a également élaboré des principes pour la résilience opérationnelle.

2. Clarification du périmètre d’application du dispositif de gestion du risque opérationnel

La publication du comité de Bâle de mars 2021 redéfinit clairement les composantes du dispositif de gestion du risque opérationnel. Il s’agit :
– de la gouvernance
– de l’environnement de gestion des risques
– des technologies de l’information et de la communication
– de la planification de la continuité des activités
– de l’importance de la communication publique transparente sur le risque opérationnel

Chacun de ces éléments ne doit pas être considéré isolément mais doit être parfaitement intégré dans le dispositif global de gestion des risques opérationnels et s’inscrire dans le cadre plus global de gestion des risques de la banque (y compris la résilience opérationnelle).

Les principes révisés représentent des pratiques saines applicables à toutes les banques. Toutefois le principe de proportionnalité s’applique également dans le cadre de la gestion du risque opérationnel. Il s’agira donc d’adapter la mise en œuvre des principes à la nature, à la taille, à la complexité et au profil de risque des activités des banques.

3. Clarification des attentes sur le dispositif de gestion du risque opérationnel

3.1. La nécessaire conjugaison entre les objectifs de gestion du risque opérationnel et de résilience opérationnelle

Le risque opérationnel est défini comme le risque de perte résultant de processus, de personnes et de systèmes internes inadéquats ou défaillants ou d’événements externes. Cette définition inclut le risque juridique, mais exclut le risque stratégique et de réputation.
Le risque opérationnel est inhérent à tous les produits, activités, processus et systèmes bancaires, et la gestion efficace du risque opérationnel est un élément fondamental du programme de gestion des risques d’une banque.

Une saine gestion du risque opérationnel reflète l’efficacité du conseil d’administration et du top management dans la gestion de leur portefeuille de produits, d’activités, de processus et de systèmes. Le cas échéant, les risques stratégiques et de réputation pourraient être pris en compte par la gestion des risques opérationnels des banques si cette inclusion permet une meilleure appréhension du risque global.

Bien que la gestion des risques opérationnels et la résilience opérationnelle répondent à des objectifs différents, elles sont étroitement liées. Un système efficace de gestion des risques opérationnels et un niveau solide de résilience opérationnelle contribuent ensemble à la réduction de la fréquence et de l’impact des événements de risque opérationnel.

3.2. Réaffirmation des composantes d’un dispositif efficace de gestion du risque opérationnel

La gestion des risques efficace englobe :
– l’identification des risques pour la banque
– la mesure et l’évaluation des expositions à ces risques
– la surveillance en permanence des expositions et des besoins en fonds propres correspondants
– la mise en place de mesures pour contrôler ou atténuer les risques présents dans les expositions
– le reporting à la direction générale et au conseil d’administration sur les expositions aux risques et des fonds propres de la banque
– l’intégration des contrôles internes aux activités quotidiennes d’une banque
– la disponibilité d’informations fiables, opportunes et complètes sur les risques de la banque
– l’assurance que la banque se conforme aux lois et réglementations applicables
– une saine gouvernance

3.3. La gouvernance comme clé de voute d’un dispositif de gestion du risque opérationnel efficace

Une saine gouvernance interne constitue le fondement d’un dispositif de gestion du risque opérationnel efficace. La gouvernance de la gestion du risque opérationnel présente des similitudes mais aussi des différences par rapport à la gestion du risque de crédit ou de marché. La fonction de gouvernance des risques opérationnels des banques doit être pleinement intégrée dans la structure globale de gouvernance de gestion des risques au sein de la banque.

3.4. Clarification des attentes sur les trois niveaux de contrôle interne

3.4.1. Le dispositif des trois lignes de défense

La première ligne de défense se situe au niveau des équipes opérationnelles au sein du business.
La deuxième ligne de défense est représentée par la fonction indépendante de gestion des risques opérationnels.
La troisième ligne de défense est représentée par le contrôle périodique indépendant.
En fonction de la nature, de la taille et de la complexité de la banque, et le profil de risque des activités d’une banque, le niveau de formalisme dans la mise en œuvre de ces trois lignes de défense variera.

Bien que le modèle à trois lignes de défense soit largement adopté par les banques, la confusion autour des rôles et des responsabilités de chaque ligne de défense entrave parfois son efficacité. Ainsi, la révision des principes de gestion du risque opérationnel est également l’occasion de clarifier les attentes sur ce modèle des trois lignes de défense pour chaque type de sous-catégorie de risque opérationnel, y compris le risque ICT.

3.4.2. Les attentes valables pour chaque ligne de défense

Les banques doivent veiller à ce que chaque ligne de défense :
– dispose de ressources suffisantes en termes de budget, d’outils et de personnel
– ait des rôles et des responsabilités clairement définis
– reçoit une formation continue et adéquate
– promeut une saine culture de gestion des risques dans toute l’organisation
– communique avec les autres lignes de défense pour renforcer le dispositif de gestion des risques opérationnels

3.4.3. Les attentes spécifiques relatives au premier niveau de défense

Une saine gouvernance des risques opérationnels reconnaît que la direction des équipes business est responsable de l’identification et de la gestion des risques inhérents aux produits, activités, processus et systèmes dont elle est responsable. Les banques doivent avoir une politique définissant clairement les rôles et les responsabilités dans les équipes opérationnelles concernées.

Les responsabilités d’une première ligne de défense efficace dans la promotion d’une saine culture de gestion des risques opérationnels doivent inclure :

– l’identification et l’évaluation du caractère significatif des risques opérationnels inhérents à leur unités commerciales respectives grâce à l’utilisation d’outils de gestion des risques opérationnels
– la mise en place des contrôles appropriés pour atténuer les risques opérationnels inhérents et évaluer la conception et l’efficacité de ces contrôles grâce à l’utilisation des outils de gestion des risques opérationnels
– l’identification et l’escalade pour les cas où les unités opérationnelles manquent de ressources, d’outils et de formation adéquats pour assurer l’identification et l’évaluation des risques opérationnels
– la surveillance et le reporting sur les profils de risque opérationnel des différentes équipes business et opérationnelles afin de s’assurer de leur conformité à la déclaration de tolérance et d’appétit pour le risque opérationnel établie
– le reporting des risques opérationnels résiduels non atténués par les contrôles, y compris les événements de perte opérationnelle, les lacunes des contrôles, les insuffisances des processus et le non-respect du cadre de limites internes sur le risque opérationnel conformément au RAF (Risk Appetite Framework)

3.4.4. Les attentes spécifiques relatives au deuxième niveau de défense

Une équipe en charge de la gestion des risques opérationnels fonctionnellement indépendante est généralement la deuxième ligne de défense. Les responsabilités d’une deuxième ligne de défense efficace doivent inclure :

– le développement d’une vision des risques indépendante des unités opérationnelles
<> les risques opérationnels importants identifiés
<> la conception et l’efficacité des contrôles clés
<> l’appétit au risque

– des challenges sur la pertinence et la cohérence de la mise en œuvre par les équipes commerciales des outils de gestion des risques opérationnels, des activités de mesure et des systèmes de reporting, et la preuve de ce challenge efficace
– l’élaboration et la maintenance des politiques, des normes et des lignes directrices en matière de gestion des risques opérationnels et de mesure
– l’examen et la contribution au suivi et à la communication sur profil de risque opérationnel
– la conception et la dispense de formations sur les risques opérationnels
– la sensibilisation aux risques des différents collaborateurs

Les modalités de respect du principe d’indépendance de l’équipe en charge de la gestion des risques opérationnels peuvent différer d’une banque à l’autre :
– dans les petites banques, l’indépendance peut être obtenue grâce à la séparation des tâches et à un examen indépendant des processus et des fonctions
– dans les grandes banques, l’équipe en charge de la gestion des risques opérationnels doit avoir une structure de reporting indépendante des unités opérationnelles génératrices de risques et être responsable de la conception, de la maintenance et du développement continu du dispositif de gestion du risque opérationnel au sein de la banque

L’équipe en charge de la gestion des risques opérationnels doit impliquer les autres fonctions de contrôle dans ses travaux. Il s’agit notamment des équipes Conformité, Juridique, Finance et Informatique. Ce travail collaboratif permettra de soutenir les évaluations des risques opérationnels et des contrôles.
Les banques doivent avoir une politique définissant clairement les rôles et les responsabilités de l’équipe en charge de la gestion des risques opérationnels, reflétant la taille et la complexité de l’organisation.

3.4.5. Les attentes spécifiques relatives au troisième niveau de défense

La troisième ligne de défense fournit au conseil d’administration une assurance indépendante du caractère approprié du dispositif de gestion du risque opérationnel de la banque. Le personnel de cette fonction ne doit pas être impliqué dans l’élaboration, la mise en œuvre et le fonctionnement des processus de gestion des risques opérationnels par les deux autres lignes de défense.
Les examens de la troisième ligne de défense sont généralement menés par l’audit interne et / ou externe de la banque, mais peuvent également impliquer d’autres tiers indépendants dûment qualifiés.
Le périmètre et la fréquence des examens doivent être suffisants pour couvrir toutes les activités et entités juridiques d’une banque.

 Un examen indépendant efficace doit :

– examiner la conception et la mise en œuvre des systèmes de gestion des risques opérationnels et des processus de gouvernance associés à travers la première et la deuxième ligne de défense (y compris l’indépendance de la deuxième ligne de défense)

– examiner les processus de validation pour s’assurer qu’ils sont indépendants et mis en œuvre d’une manière cohérente avec les politiques bancaires établies

– s’assurer que les systèmes de quantification utilisés par la banque sont suffisamment robustes :
<> ils doivent fournir l’assurance de l’intégrité des données, des hypothèses, des processus et de la méthodologie
<> ils doivent produire des évaluations du risque opérationnel qui reflètent de manière crédible le profil de risque opérationnel de la banque

– veiller à ce que la direction des équipes opérationnelles et commerciales réponde rapidement, avec précision et de manière adéquate aux problèmes soulevés et fasse régulièrement un reporting au conseil d’administration ou à ses comités compétents sur les questions en suspens et clôturées

– donner un avis sur la pertinence et l’adéquation globales du dispositif de gestion du risque opérationnel et des processus de gouvernance associés dans l’ensemble de la banque

– évaluer si le dispositif de gestion du risque opérationnel répond aux besoins et aux attentes de l’organisation tels que :
<> le respect de l’appétit et de la tolérance au risque de l’entreprise
<> l’adaptation du dispositif à l’évolution des conditions opérationnelles

– évaluer si le dispositif de gestion du risque opérationnel se conforme :
<> aux dispositions statutaires et législatives
<> aux dispositions contractuelles
<> aux règles internes
<> au code de conduite éthique

3.5. Le rôle clé de la direction générale dans le dispositif de gestion du risque opérationnel

La direction générale doit veiller à ce que les politiques, processus et systèmes du dispositif de gestion du risque opérationnel restent suffisamment solides pour gérer et veiller à ce que les pertes opérationnelles soient adéquatement traitées en temps opportun. L’amélioration de la gestion des risques opérationnels dépend fortement de la proactivité du top management qui doit agir rapidement et de manière appropriée pour répondre aux préoccupations des gestionnaires des risques opérationnels.

4. 12 principes pour une gestion saine du risque opérationnel

4.1. Principe 1 : la nécessaire implication du conseil d’administration et du top management dans la diffusion de la culture risque

Le conseil d’administration doit prendre l’initiative de mettre en place une solide culture de gestion des risques, mise en œuvre par le top management. Le conseil d’administration et la direction générale doivent :
– établir une culture d’entreprise guidée par une solide gestion des risques
– mettre en place des normes et des incitations à un comportement professionnel et responsable
– veiller à ce que le personnel reçoive une formation appropriée en matière de gestion des risques et d’éthique

4.2. Principe 2 : un dispositif de gestion des risques opérationnels pleinement intégré dans le dispositif de gestion des risques globale de la banque

Les banques doivent développer, mettre en œuvre et maintenir un cadre de gestion des risques opérationnels pleinement intégré dans les processus globaux de gestion des risques de la banque. Le cadre de gestion des risques opérationnels adopté par une banque dépendra d’une série de facteurs, notamment la nature, la taille, la complexité et le profil de risque de la banque.

4.3. Principe 3 et 4 : le devoir de surveillance du dispositif de gestion du risque opérationnel par le conseil d’administration

Le conseil d’administration doit approuver et revoir périodiquement le cadre de gestion du risque opérationnel et s’assurer que la direction générale met en œuvre les politiques, processus et systèmes du cadre de gestion du risque opérationnel de manière efficace à tous les niveaux de décision.
Le conseil d’administration doit approuver et revoir périodiquement une déclaration d’appétence et de tolérance au risque pour le risque opérationnel qui précise la nature, les types et les niveaux de risque opérationnel que la banque est prête à assumer.

4.4. Principe 5 : la responsabilité de la direction générale dans la mise en œuvre d’une saine gouvernance autour de la gestion du risque opérationnel

La direction générale doit élaborer pour approbation par le conseil d’administration, une structure de gouvernance claire, efficace et solide avec des lignes de responsabilité bien définies, transparentes et cohérentes. La direction générale est responsable de la mise en œuvre et du maintien cohérents tout au long de l’organisation, des politiques, des processus et des systèmes de gestion du risque opérationnel dans tous les produits, activités, processus et systèmes importants de la banque, conformément à la tolérance au risque et à la déclaration de tolérance de la banque.

4.5. Principe 6 et 7 : l’importance d’un dispositif efficace d’identification et d’évaluation des risques en ligne avec les changements au sein de la banque

La direction générale doit assurer l’identification et l’évaluation complètes du risque opérationnel inhérent à tous les produits, activités, processus et systèmes importants.
Ceci permettra notamment de s’assurer que les risques inhérents sont bien compris.
La direction générale doit veiller à ce que le processus de gestion du changement de la banque soit complet, doté de ressources appropriées et correctement articulé entre les lignes de défense pertinentes.

4.6. Principe 8 : l’importance du dispositif de suivi et de reporting sur les risques opérationnels

La direction générale doit mettre en place un processus de suivi régulier des profils de risque opérationnel et des expositions opérationnelles significatives.
Des reportings appropriés doivent être en place à destination du conseil d’administration, du top management et des équipes commerciales pour soutenir une gestion proactive du risque opérationnel.

4.7. Principe 9 : l’importance du dispositif de contrôle et des mesures de réduction du risque

Les banques doivent disposer d’un environnement de contrôle solide qui utilise des politiques, des processus, des systèmes et des contrôles internes appropriés. Elles doivent également mettre en œuvre des stratégies appropriées d’atténuation des risques et / ou de transfert de risque.

Les processus et procédures de contrôle doivent inclure :
– des examens au plus haut niveau des progrès accomplis dans la réalisation des objectifs déclarés
– la vérification du respect des contrôles
– l’examen du traitement et la résolution des cas de non-conformité
– l’évaluation des approbations et autorisations requises pour garantir la responsabilité à un niveau de direction approprié
– le suivi des reportings pour les exceptions approuvées aux seuils ou aux limites, les dérogations de la direction et autres écarts par rapport aux politiques, réglementations et lois

4.8. Principe 10 : la nécessaire prise en compte des risques ICT

Les banques doivent mettre en œuvre un solide programme de gestion des risques ICT, aligné sur leur cadre de gestion des risques opérationnels. La gestion des risques liés aux ICT comprend :

– l’identification et l’évaluation des risques liés aux ICT

– les mesures de réduction des risques liés aux ICT compatibles avec le niveau de risque évalué :
<> programmes de cybersécurité, d’intervention et de récupération
<> processus de gestion des changements ICT
<> processus de gestion des incidents ICT, y compris la transmission des informations pertinentes aux utilisateurs en temps opportun)

– le suivi de ces mesures d’atténuation (y compris des tests réguliers)

4.9. Principe 11 : l’indispensable planification de la continuité des activités

Les banques doivent mettre en place des plans de continuité des activités pour garantir leur capacité à fonctionner de manière continue et limiter les pertes en cas de perturbation grave des activités. Les plans de continuité des activités doivent être liés au cadre de gestion des risques opérationnels de la banque.

Une gouvernance saine et efficace de la politique de continuité des activités des banques nécessite:
– un examen et une approbation réguliers par le conseil d’administration
– la forte implication de la direction générale et des responsables des équipes commerciales et opérationnelles dans sa mise en œuvre
– l’engagement des première et deuxième lignes de défense dans sa conception
– l’examen régulier par la troisième ligne de défense

4.10. Principe 12 : la publication transparente d’informations afin de renforcer la qualité des pratiques de place

Les publications d’une banque doivent permettre aux parties prenantes d’évaluer son approche de la gestion du risque opérationnel et son exposition au risque opérationnel. La publication par une banque d’informations pertinentes sur la gestion du risque opérationnel peut conduire à la transparence et au développement de meilleures pratiques de place. Le montant et le type de publication doivent être proportionnels à la taille, au profil de risque et à la complexité des opérations d’une banque ainsi qu’à l’évolution des pratiques du secteur.

5. Références et abréviations

https://www.bis.org/bcbs/publ/d515.pdf

RAS : Risk Appetite Statement
RCSA : Risk Control Self Assessment
ICT (anglais) TIC (français) : Technologies de l’Information et de la Communication
RAF : Risk Appetite Framework

Comments are closed.