Maîtriser un risque de fraude nécessite de mettre en place des contrôles capable de prévenir ou détecter cet événement, qu’il soit correctement évalué et, finalement qu’il soit correctement géré. Cette chaîne logique de la gestion du risque n’a pourtant pas correctement fonctionné à l’UBS à la lumière de la dernière grosse fraude découverte. Alors à qui la faute? La réponse n’est pas simple sans comprendre les principes essentiels de la gestion des risques.
Qu’est-ce que la gestion des risques ?
Gérer un risque revient à mettre en place des mesures de protection, également appelées des contrôles, et permettant de réduire l’impact si un tel événement venait à survenir ou à diminuer sa probabilité de survenance. Dans le cas du risque de fraude, la gestion de risque consiste donc à réduire la probabilité d’un tel événement et, sachant qu’il n’est pas possible de faire complètement disparaître un risque, de limiter, dans la mesure du possible, son impact, soit le montant de la fraude éventuelle.
Comme le prévoit le corpus réglementaire des banques, la mise en place d’un système de contrôle cohérent dans une banque doit se faire à plusieurs niveaux afin d’assurer que les mailles du filet permettent d’appréhender correctement leurs risques financiers, de crédits et opérationnels. Il est possible de les schématiser de la manière suivante :
clic pour agrandir
Le niveau de contrôle opérationnel est en principe opéré par le supérieur hiérarchique. Il s’assure que les tâches ont été correctement réalisées dans son périmètre de responsabilités. Viennent ensuite les contrôles effectués par des entités opérationnelles indépendantes, telle que le middle-office ou le back-office pour des opérations de marchés (réconciliation avec une source externe par exemple). Les entités d’audit interne (révision interne) représentent la troisième barrière de la gestion des risques en organisant des plans d’audit indépendant et périodique sur les processus internes essentiels. L’audit externe est l’ultime niveau de contrôle et se focalise principalement sur l’assurance des états financiers.
La difficile évaluation du risques
Mettre en place des contrôles est une chose. Apprécier le niveau du risque résiduel en est une autre qui n’est certainement pas aussi trivial que l’on pourrait le croire. En effet, en appréciant de manière trop confiante la qualité d’un contrôle, le niveau de risque réel sera finalement plus élevé que celui perçu ainsi que le présente l’illustration suivante :
clic pour agrandir
Le risque zéro n’existe pas
L’activité de gestion du risque est donc complexe et multi-dimensionnelle. Le cas de l’UBS est le dernier exemple en date qui démontre qu’il ne suffit pas de mettre en place des contrôles, encore faut-il qu’ils fonctionnent correctement dans le temps au niveau de l’organisation, des processus et des outils.
Une telle fraude n’a été possible que grâce à une cascade de faiblesses de contrôles qui ont finalement permis ou donner l’opportunité à une personne de commettre ce délit. Il n’en demeure pas moins que la gestion des risques est aujourd’hui une composante essentielle de gouvernance et l’outil absolument nécessaire pour réduire l’impact de la prochaine fraude … ce n’est malheureusement qu’une question de temps maintenant!
Jeu de briques
Snake
Pacman
Bubble