Gestion du risque opérationnel dans les institutions financières
Le risque opérationnel est un terme générique officiellement inventé en 1991 par le COSO. Au début de sa conception, il s'agissait simplement d'une catégorie difficile à définir pour les risques résiduels qui ne relevaient pas du risque de marché et du risque de crédit dans les institutions financières. Cette nouvelle appellation couvrait un éventail de risques résultant de technologies de l'information ou cybernétiques, de l'interruption des activités, de la responsabilité juridique, de la motivation humaine, de la fraude et même de l'infrastructure. Certaines banques utilisent le terme "risque opérationnel" comme synonyme de risque non financier. Aujourd'hui, il est devenu un domaine d'intérêt majeur pour les fonctions de risque internes et les régulateurs, ce qui se traduit par une surveillance accrue des réserves de capital détenues pour l'exposition au risque opérationnel. Le risque opérationnel figure en bonne place dans les programmes de gestion (tant à l'intérieur qu'à l'extérieur des institutions financières), et les titres tels que "gestionnaire du risque opérationnel" sont désormais monnaie courante. Les cyber-risques croissants, la dépendance à l'égard des fournisseurs et la numérisation continue des processus sont autant de facteurs qui contribuent à mettre l'accent sur la gestion du risque opérationnel.
Bien que publié en 2004, Bâle II n'a été mis en œuvre dans la plupart des grandes économies qu'après la crise financière de 2008. L'objectif de Bâle II était d'améliorer les normes bancaires internationales en établissant des exigences en matière de gestion des capitaux, qui garantissent qu'une banque dispose d'un capital adéquat afin d'être protégée contre les risques auxquels elle s'expose. Bâle II utilise un concept de trois piliers :
- Exigences minimales de fonds propres (prise en compte des risques)
- Contrôle de surveillance
- Discipline de marché
Nous reviendrons plus en détail sur ces sujets dans le prochain article de cette série. Bâle II a réformé la supervision bancaire et a mis l'accent sur l'efficacité politique du risque opérationnel, ainsi que sur sa mise en œuvre. Les questions relatives aux définitions, à la collecte de données et aux limites de la quantification ont fait l'objet de vifs débats à l'époque, et peut-être encore aujourd'hui.
Le défi réside dans le fait que, pour de nombreuses organisations, la gestion des risques opérationnels reste répartie entre plusieurs outils, et que beaucoup dépendent encore de processus manuels pour identifier, quantifier et gérer ces risques. Les organisations et les régulateurs reconnaissent que les processus manuels actuellement en place ne sont plus suffisants, ni économiques, pour gérer ce nouveau niveau de risque. La fragmentation des outils de gestion des risques d'une organisation est un autre facteur essentiel qui contribue à rendre les processus de gestion des risques opérationnels fastidieux :
- Les différents programmes et projets internes utilisent probablement leurs propres registres de risques sur tableur.
- Les unités opérationnelles peuvent ne rendre compte des risques principaux que dans leur revue trimestrielle.
- Les gestionnaires de risques de deuxième niveau peuvent utiliser un outil GRC distinct.
- L'équipe d'audit suit probablement ses risques dans un outil de gestion de l'audit.
- Cette approche de la gestion des risques rend presque impossible l'obtention d'informations en temps réel sur les risques. Enfin, l'absence de mise en contexte des risques identifiés par rapport aux contrôles établis et aux exigences réglementaires et légales pertinentes complique encore les processus de mise en conformité.
Gestion du risque opérationnel en temps réel
Dans la croissance de nombreuses entreprises, il y a un point d'inflexion où le besoin de gérer les risques d'une manière plus formelle se fait sentir - soit en raison de la croissance de l'organisation, soit en raison de la pression réglementaire ou de clients plus exigeants. Avec des technologies plus complexes, une réglementation plus stricte et un travail davantage axé sur les projets, les feuilles de calcul peuvent être une option et durer un certain temps, mais il y a souvent un point d'inflexion où elles ne sont plus viables. Quelques indicateurs permettent de savoir s'il est temps de changer :
- Chaque question que vous posez sur l'exposition actuelle au risque nécessite d'attendre une consolidation manuelle des données pour obtenir une réponse.
- Vos feuilles de calcul des risques se trouvent sur un lecteur réseau avec plusieurs versions dans le même dossier.
- Il existe différents formats et modèles pour saisir les risques au sein de votre entreprise.
- Les auto-évaluations du contrôle des risques représentent une charge importante pour l'entreprise à chaque fois qu'elles doivent être effectuées.
L'inefficacité des processus de gestion du risque opérationnel se manifeste généralement par le fait que les équipes n'utilisent pas les outils ou les feuilles de calcul définis et tentent de contourner les processus de gestion du risque et de la conformité. Un système de gestion des risques qui n'est pas suffisamment flexible pour s'adapter aux changements organisationnels entraînera également un contournement des processus et, souvent, des efforts manuels supplémentaires. Enfin, si votre registre des risques est alimenté par la partie prenante qui crie le plus fort lors d'une réunion, vous savez que vous n'identifiez pas suffisamment les risques impartiaux.
Une gestion réussie des risques opérationnels permettra aux parties prenantes et à l'équipe de gestion des risques de disposer d'informations en temps réel sur les risques. Il est essentiel d'adopter une approche structurée de l'identification des risques plutôt que de se fier à son intuition. Dans l'ensemble, il s'agit de mettre en place des processus qui
- Gagner du temps
- Une gestion des risques allégée
- Se concentrer sur les objectifs fondamentaux de l'entreprise
- Favoriser une culture de sensibilisation aux risques dans l'ensemble de l'organisation
- Gestion intégrée des risques
Traditionnellement, la gestion des risques est une approche descendante, qui conduit à des silos d'activités et à des décisions prises dans des tours d'ivoire. La gestion intégrée des risques est un terme qui souligne l'importance de la gestion des risques au premier plan de la gouvernance d'entreprise. Il s'agit de permettre à chacun d'accéder au bon niveau d'information pour sa fonction, et de faire en sorte que chaque unité opérationnelle soit responsable de la gestion des risques dans l'ensemble de l'entreprise. Une solution de gestion des risques opérationnels doit être facile et agréable à utiliser afin d'impliquer les parties prenantes de manière continue. Elle doit donner le ton à partir du sommet, en soulignant et en encourageant une culture active du risque au sein de l'organisation, en utilisant des méthodes d'interaction agiles.
En outre, la solution doit également être en mesure de fournir une approche méthodique pour quantifier l'exposition au risque opérationnel et l'appétit pour ce risque - sans être trop rigide. Lors de l'identification du risque opérationnel, la solution doit prendre en charge une capacité d'évaluation évolutive, plutôt que de s'appuyer sur des approches manuelles basées sur des échantillons. Correctement exécutée, la gestion intégrée des risques permettra aux organisations de concentrer leurs dépenses sur l'atténuation des risques plutôt que sur l'identification et la gestion des risques.
