Le risque opérationnel continue d’agiter les banques françaises

A la fin de ce même mois, une autre grande banque annonce qu’un bug a eu pour effet de prélever jusqu’à 3 fois la même transaction chez certains clients. Bien que moins retentissants que certains scandales récents dans le milieu bancaire, ces incidents sont suivis de très près par les établissements bancaires. Au-delà du risque de réputation associé, le risque opérationnel a un coĂťt, et notamment un coĂťt en fonds propres non négligeable depuis Bâle II. Comment les banques intègrent-elles ces dangers par ailleurs en constante évolution dans leur politique de gestion des risques et que font elles pour éviter que de telles situations se reproduisent ?

Des risques définis précisément et bien encadrés par la réglementation

Dès 2004, sous l’effet de la réglementation, le risque opérationnel a fait l’objet de réflexions structurantes au sein des directions de risques bancaires de la place. Intégré au ratio de solvabilité (ex – ratio MC Donough), à travers le pilier 1 de Bâle II, il doit être couvert par des fonds propres. Cette exigence s’est d’ailleurs récemment confirmée avec la transposition européenne de Bâle III qui réaffirme la nécessaire prise en compte du risque opérationnel pour le calcul des fonds propres. Le règlement CRR définit le risque opérationnel tel que « le risque de pertes découlant d’une inadéquation ou d’une défaillance des processus, du personnel et des systèmes internes ou d’événements extérieurs, y compris le risque juridique ». Ainsi, le risque opérationnel peut provenir de défaillances internes à l’entreprise mais également de menaces externes. Dans ce cadre, le comité de Bâle retient une classification qui distingue 7 catégories d’événements liés à ce risque :

Cette catégorisation exclut par conséquent de la définition, le « risque de réputation » et le « risque stratégique ».

Un coĂťt non négligeable et en augmentation

Le coĂťt du risque opérationnel est non négligeable pour les banques. Il représentait 10,5% des coĂťts du risque bâlois[1] en 2013 pour 5 des plus grands groupes bancaires français (BNP Paribas, BPCE, Société Générale, Crédit Agricole et La Banque Postale) soit un peu moins de 180mâ‚Ź[2]. Il reste bien moins important que le risque de crédit totalisant 84,6% des risques bâlois mais devant le risque de marché représentant 4,9% des coĂťts des risques[3].

Depuis quelques années, la part de ce coĂťt en termes de fonds propres, a légèrement augmenté dans la part du coĂťt total des risques (9,4% en 2008 à 10,5% en 2013) mais également en valeur absolue et ce pour tous les établissements.

Evolution du coĂťt du risque opérationnel en % des actifs pondérés

Cette tendance est observable pour la BNP, BPCE et le Crédit Agricole qui voient, années après années, augmenter de quelques dixième de points la part de ce risque : respectivement 10,2%, 10 ,3% et 8,6% en 2013. La Société Générale après une importante hausse en 2009 (+ 1,4 points à 14,5%) a vu sa part baisser progressivement pour atteindre 12,9%. Une part toujours supérieure à la moyenne de ses consĹ“urs à l’exception de la Banque Postale qui affichait en 2013, 18,8% de coĂťt du risque opérationnel. La fourchette est donc relativement large puisqu’elle varie de 8,6% à 18,8%.

En termes strictement financiers, ce type de risque représente plusieurs dizaines de millions d’euros en actifs pondérés :

CoĂťt moyen du risque opérationnel en actifs pondérés (Mâ‚Ź) depuis 2008 (source : documents de référence)

L’analyse des données relatives aux types de risques générateurs de pertes met en exergue deux sources majeures de pertes parmi les sept recensées par le comité de Bâle.

• D’abord, les événements « fraude externe » qui constituent en moyenne 37% des pertes dont 65% des pertes générées pour la Banque Postale et 36% pour BNP. Ces scores soulignent les difficultés inhérentes à la fraude externe compte tenu de son caractère imprévisible et évolutif. A ce titre, le phénomène s’amplifie actuellement sous l’effet des nouvelles méthodes de cyberfraude (phishing, pharming etc.) qui visent l’usurpation d’identités et le détournement de bien.
• De la même façon, les pertes liées à « l’exécution, la livraison, et la gestion de processus » représentent plus de 35 % des pertes enregistrées par les banques françaises (45% pour le Crédit Agricole et 57% pour le groupe BPCE). Ces événements traduisent le non-respect ou la mauvaise interprétation des procédures et les insuffisances dans la conduite des projets de changement. Ils permettent d’envisager des améliorations des dispositifs en place via l’optimisation des systèmes d’information en place.

Enfin, et malgré leur côté spectaculaire, les événements de fraudes internes qui incluent le rogue trading[4] ne représentent que 4% des pertes totales en moyenne pour les banques françaises. Toutefois, au-delà du coĂťt financier induit directement, ces événements impactent durablement l’image et la notoriété des banques.

 Pertes liées au risque opérationnel – répartition par type d’événements (sources[5])

Des directions des risques et des contrôles déjà bien affutées‌

Bâle II a imposé que l’ensemble des métiers soient couverts par une politique des risques opérationnels associée à des dispositifs de contrôles. Les banques ont donc dĂť industrialiser leur processus de contrôle permanent. La réforme leur a également imposé de déterminer un montant de fonds propres à mettre en face des risques encourus. Pour ce faire, plusieurs approches de calcul étaient envisageables :

• Les approches de calcul basique et standardisée, dont les modalités sont fixées réglementairement ont été privilégiées par les petites et moyennes entités.
• A l’inverse, les plus grands établissements ont opté le plus souvent pour l’approche avancée (méthode AMA). Celle-ci a impliqué, il y a quelques années, un coĂťt de mise en Ĺ“uvre initial plus important mais doit théoriquement permettre d’économiser des fonds propres en cernant au plus juste les risques encourus. Les autorités règlementaires ont incité à l’adoption de l’approche avancée de par la finesse d’analyse qu’elle procure. Dans ce cadre, les obligations réglementaires ont donc largement participé à la structuration et au renforcement des directions de risques bancaires, désormais affutées pour la couverture de leur risque opérationnel.

‌mais dotées de structures souvent lourdes et peu flexibles

Les nouvelles natures de risque obligent les établissements à revoir leurs dispositifs régulièrement tout en les spécialisant. Dans le cadre de sa lutte contre la cybercriminalité, le Crédit Agricole a créé deux unités distinctes : une est dédiée aux attaques virales alors que l’autre traite les problématiques d’usurpation d’identité et de détournement de biens. Le risque de cette spécialisation est de mettre en place des structures de suivi et de contrôle lourdes et peu flexibles qui ne permettent pas de détecter de nouvelles formes de risques et de réagir rapidement. Ces processus doivent donc être revus régulièrement. Cela passe par un examen du périmètre couvert par les KRI[6], des limites et des seuils d’alertes fixés et une rationalisation du reporting RO pour faciliter la prise de décision.

En parallèle, une trop grande sophistication et automatisation des contrôles peuvent mener à une baisse de vigilance. Il est donc recommandé d’effectuer en plus des contrôles habituels, des contrôles inopinés et de veiller à la motivation et la curiosité des contrôleurs.

Sous l’impulsion du régulateur, et de la réglementation Baloise, les Banques françaises ont acquis une connaissance approfondie de leur risque opérationnel. Cet effort de conformité a permis aux banques de minimiser le nombre d’incidents et de réduire relativement le coĂťt en fonds propres qui lui est rattaché. Toutefois à l’aune d’incidents récents, il apparait que ces dispositifs de contrôle, en dépit de leur degré de sophistication, ne sont pas infaillibles. Or, la répétition de ce genre d’événement peut non seulement affecter financièrement la santé de l’entité, mais également nuire durablement à sa notoriété. Un deuxième coĂťt réel et pourtant exclu du périmètre risque opérationnel.

Sia Partners

[1] : En pourcentage des actifs pondérés

[2] : En actifs pondérés

[3] : CF. note 1.

[4] : Transactions financières effectuées par un employé de l’établissement sans qu’elles soient approuvées

[5] : Sources : rapports annuels 2013 de : CASA (moyenne 2011-2013), SG (moyenne 2009-2012), BPCE(période non précisée), BNPP (2008-2013), et Banque Postale (moyenne 2009-2013)

[6] :  Key Risk Indicator