Une notion précisée par le comité Bâle II
Les travaux de normalisation menés dans le secteur bancaire ont remis au goût du jour la notion de risque opérationnel. Si ce risque en soi nest pas nouveau, lévolution de la réglementation bancaire le replace au premier rang des préoccupations au travers de normes que lon désigne communément sous le terme de « Bâle II ».
Lappréciation de la solvabilité bancaire, jusquici mesurée au travers du ratio Cooke, va prendre en compte à partir de fin 2006 les risques opérationnels, en sus des risques de crédit et des risques de marché. Ceci se fera au travers dun nouveau ratio, le ratio Mc Donough, du nom de lancien président du Comité de Bâle.
Les quatre composantes du risque opérationnel
Par risques opérationnels, il faut entendre les risques que lorganisation, ses acteurs et lenvironnement externe font courir à la banque. Ils se décomposent en 4 sous-ensembles :
le risque lié au système dinformation : défaillance matérielle, bogue logiciel, obsolescence des technologies (matériel, langages de programmation, SGBD,
) ;
le risque lié aux processus (saisies erronées, non respect des procédures,
) ;
le risque lié aux personnes (absentéisme, fraude, mouvements sociaux,
mais aussi capacité de l'entreprise à assurer la relève sur les postes clés) ; le risque lié aux évenements extérieurs (terrorisme, catastrophe naturelle, environnement réglementaire,
).
Le Comité Bâle II a mené une analyse quantitative de ces risques sur près dune centaine détablissements : les résultats démontrent la fréquence et le coût global élevés des incidents opérationnels : ils génèrent en moyenne près de 90 milllions deuros de perte. Une analyse plus fine démontre que si les sinistres les plus élevés sont aussi les mieux couverts (incendie, dégâts des eaux), cest finalement la diversité des risques non couverts qui explique limportance du coût final.
Les objectifs de maîtrise de ces risques opérationnels rejoignent ceux dun système de management de la qualité : définition dune politique générale appuyée par la direction, identification et quantification de ces risques, mise en place de mesures préventives et de mesures correctives en cas de sinistre et enfin surveillance permanente et reporting. A ceci près que les incidences de cette mesure sur le niveau des réserves financières à mobiliser rend la mise en place d'un tel outil de suivi obligatoire.
Lintégration du risque opérationnel dans les référentiels processus.
On le constate à la lecture de la définition : le risque opérationnel est intimement lié à lorganisation au sens large de lentreprise. Dans la mesure où les outils de modélisation des processus intègrent déjà les tâches, les acteurs (internes comme externes), les moyens informatiques voire les compétences, un référentiel de processus fournit une structure daccueil naturelle à la cartographie des risques opérationnels.
Il était donc logique que les acteurs de ce marché intègrent cette approche risque. La rapidité avec laquelle sest faite cette intégration illustre le caractère par nature évolutif de ces référentiels : le prisme « risque opérationnel » nest jamais quune vue supplémentaire dune même réalité, le processus ; intégrer cette démarche revient à définir dans un premier temps des modèles de cartographie des risques (de type famille sous-famille risque, par exemple), de qualifier ces risques (fréquence, niveau de criticité,
) et de les rattacher aux éléments concernés du référentiel (tâche, acteur, système,...).
Pour les outils dotés dune structure de donnée personnalisable (notion de « meta modèle évolutif », cette intégration peut même se faire directement par lutilisateur sans évolution fonctionnelle du produit.
Cette photographie permet ensuite de s'attaquer à la réduction de l'exposition : on pourra par exemple croiser la carte des risques avec les polices dassurance en vue doptimiser la couverture ou encore y intégrer les actions préventives afin de mettre en évidence leur incidence sur le niveau de risque. On rejoint alors des problématiques classiques d'optimisation si ce n'est que l'appréciation de la performance passe par des critères quelque peu spécifiques.
Certains éditeurs ont complété leur offre par des outils de reporting spécifiques pour répondre aux exigences de communication interne et externe imposées par le comité de Bâle.
Une problématique qui intéresse tous les secteurs
Le paradoxe est que ces offres, conçues au départ pour le secteur bancaire, ont pour linstant initié un nombre limité de projets au sein de ce secteur. A cela, deux raisons principales : les banques attendent la finalisation des spécifications Bâle II et semblent davantage préoccupées pour lheure par les problèmes liés à la quantification du risque (et donc à la capture des événements au sein de leur base dincidents) que par son suivi. Les règles de quantification des risques font dailleurs lobjet dâpres discussions au sein du Comité. Accessoirement, les clients doivent également arbitrer entre ces offres généralistes et des solutions verticales ad hoc. Cet attentisme ne devrait cependant pas perdurer très longtemps.
En dehors du contexte bancaire, cette approche cartographiée des risques opérationnels s'avère parfaitement adaptée aux secteurs industriels qui doit intégrer ses processus de production dans un contexte de plus en plus réglementé (environnement, sécurité alimentaire,
)
Un intérêt supplémentaire à la modélisation de ses processus
|