L’appréciation de la solvabilité bancaire, jusqu’ici mesurée au travers du ratio Cooke, va prendre en compte à partir de fin 2006 les risques opérationnels, en sus des risques de crédit et des risques de marché. Ceci se fera au travers d’un nouveau ratio, le ratio Mc Donough, du nom de l’ancien président du Comité de Bâle.

Les quatre composantes du risque opérationnel
Par risques opérationnels, il faut entendre les risques que l’organisation, ses acteurs et l’environnement externe font courir à la banque. Ils se décomposent en 4 sous-ensembles :

le risque lié au système d’information : défaillance matérielle, bogue logiciel, obsolescence des technologies (matériel, langages de programmation, SGBD,…) ;

le risque lié aux processus (saisies erronées, non respect des procédures,…) ;

le risque lié aux personnes (absentéisme, fraude, mouvements sociaux,… mais aussi capacité de l'entreprise à assurer la relève sur les postes clés) ; le risque lié aux évenements extérieurs (terrorisme, catastrophe naturelle, environnement réglementaire,…).

Le Comité Bâle II a mené une analyse quantitative de ces risques sur près d’une centaine d’établissements : les résultats démontrent la fréquence et le coût global élevés des incidents opérationnels : ils génèrent en moyenne près de 90 milllions d’euros de perte. Une analyse plus fine démontre que si les sinistres les plus élevés sont aussi les mieux couverts (incendie, dégâts des eaux), c’est finalement la diversité des risques non couverts qui explique l’importance du coût final.

Les objectifs de maîtrise de ces risques opérationnels rejoignent ceux d’un système de management de la qualité : définition d’une politique générale appuyée par la direction, identification et quantification de ces risques, mise en place de mesures préventives et de mesures correctives en cas de sinistre et enfin surveillance permanente et reporting. A ceci près que les incidences de cette mesure sur le niveau des réserves financières à mobiliser rend la mise en place d'un tel outil de suivi obligatoire.

L’intégration du risque opérationnel dans les référentiels processus.
On le constate à la lecture de la définition : le risque opérationnel est intimement lié à l’organisation au sens large de l’entreprise. Dans la mesure où les outils de modélisation des processus intègrent déjà les tâches, les acteurs (internes comme externes), les moyens informatiques voire les compétences, un référentiel de processus fournit une structure d’accueil naturelle à la cartographie des risques opérationnels.

Il était donc logique que les acteurs de ce marché intègrent cette approche risque. La rapidité avec laquelle s’est faite cette intégration illustre le caractère par nature évolutif de ces référentiels : le prisme « risque opérationnel » n’est jamais qu’une vue supplémentaire d’une même réalité, le processus ; intégrer cette démarche revient à définir dans un premier temps des modèles de cartographie des risques (de type famille – sous-famille – risque, par exemple), de qualifier ces risques (fréquence, niveau de criticité,…) et de les rattacher aux éléments concernés du référentiel (tâche, acteur, système,...).

Pour les outils dotés d’une structure de donnée personnalisable (notion de « meta modèle évolutif », cette intégration peut même se faire directement par l’utilisateur sans évolution fonctionnelle du produit.

Cette photographie permet ensuite de s'attaquer à la réduction de l'exposition : on pourra par exemple croiser la carte des risques avec les polices d’assurance en vue d’optimiser la couverture ou encore y intégrer les actions préventives afin de mettre en évidence leur incidence sur le niveau de risque. On rejoint alors des problématiques classiques d'optimisation si ce n'est que l'appréciation de la performance passe par des critères quelque peu spécifiques.

Certains éditeurs ont complété leur offre par des outils de reporting spécifiques pour répondre aux exigences de communication interne et externe imposées par le comité de Bâle.

Une problématique qui intéresse tous les secteurs
Le paradoxe est que ces offres, conçues au départ pour le secteur bancaire, ont pour l’instant initié un nombre limité de projets au sein de ce secteur. A cela, deux raisons principales : les banques attendent la finalisation des spécifications Bâle II et semblent davantage préoccupées pour l’heure par les problèmes liés à la quantification du risque (et donc à la capture des événements au sein de leur base d’incidents) que par son suivi. Les règles de quantification des risques font d’ailleurs l’objet d’âpres discussions au sein du Comité. Accessoirement, les clients doivent également arbitrer entre ces offres généralistes et des solutions verticales ad hoc. Cet attentisme ne devrait cependant pas perdurer très longtemps.

En dehors du contexte bancaire, cette approche cartographiée des risques opérationnels s'avère parfaitement adaptée aux secteurs industriels qui doit intégrer ses processus de production dans un contexte de plus en plus réglementé (environnement, sécurité alimentaire,…)

Un intérêt supplémentaire à la modélisation de ses processus…