Définition

Le risque est l’effet de l’incertitude sur l’atteinte des objectifs d’une organisation (ISO 31000:2018). Il peut affecter la réalisation des objectifs stratégiques de l’organisation.

Caractéristiques du risque opérationnel

Pour une gestion efficace du risque opérationnel, il est indispensable de définir avec précision ce type de risque. Or, il n’existe pas une définition unanime et universelle du risque opérationnel. La définition souvent retenue est celle du comité de Bâle (2005) qui spécifie le risque opérationnel comme étant « le risque de pertes provenant de processus internes inadéquats ou défaillants, de personnes et systèmes ou d’évènements externes ». Le champ d’application de cette définition est tellement large qu’il est difficile d’établir une liste exhaustive des risques opérationnels. Ces derniers recouvrent aussi bien les risques inhérents au facteur humain (fraudes, erreurs, etc.) que ceux liés aux procédures internes (failles dans les procédures de contrôle interne, systèmes d’information défectueux, etc.), ou même des risques complètement externes aux banques tels que les catastrophes naturelles.

La définition inclut également le risque juridique (notamment le risque d’amendes, de pénalités et de dommages et intérêts), mais exclut les risques stratégiques et les risques de réputation.

L’accord de Bâle II classe les risques opérationnels en 7 catégories différentes :

1. Fraude interne
2. Fraude externe
3. Pratiques d’emploi et de sécurité au travail
4. Pratiques liées aux clients, aux produits et aux activités commerciales
5. Dommage aux actifs physiques
6. Arrêt d’activité et échec des systèmes
7. Gestion de l’exécution des opérations, des livraisons et des processus (Basel Committee on Banking Supervision, 2005).

Les défaillances ou inadéquations des événements de risques opérationnels peuvent avoir plusieurs causes (personne, processus, système, externe) avec des impacts divers (financiers, réglementaires, clientèle, inefficacité opérationnelle, etc.)

Éléments contextuels 

Une gestion proactive du risque opérationnel, outre qu'elle permet de se conformer aux exigences du comité de Bâle, aboutit nécessairement à une amélioration des conditions de production et à l’efficacité opérationnelle dans les organisations : rationalisation des processus d'où gain de productivité, amélioration de la qualité d'où meilleure image de marque, élimination des redondances dans la réalisation de certaines activités… En particulier une telle démarche permet de mettre en place des outils quantitatifs permettant de fixer aux équipes opérationnelles des objectifs mesurables en termes de réduction des risques opérationnels.

D'autre part, la complexité et la technicité croissante des opérations, l'augmentation des volumes et le développement du temps réel réduisent de plus en plus le « droit à l'erreur », quand le coût de l'erreur peut rapidement se chiffrer en centaines de milliers voire en millions de dollars. Le contexte est favorable à une prise de conscience, car les risques opérationnels deviennent, comme le risque de crédit et le risque de marché, une composante intrinsèque des risques financiers.

La pandémie de la Covid-19 a mis en exergue la nécessité pour les organisations de revoir leurs façons de faire et leurs processus très rapidement pour mieux répondre aux besoins des clients dans un marché de plus en plus numérique.

Ce changement de paradigme amène les organisations à revoir leurs processus, systèmes, contrôles… et engendre également des enjeux de risques opérationnels pour lesquels il convient de mettre en place une saine gestion afin de rester compétitive et apporter de la valeur aux actionnaires.

Afin que la gestion du risque opérationnel puisse apporter plus de valeur ajoutée à l’organisation et afin de capter les nouvelles vulnérabilités face à la numérisation des processus, il convient d’avoir une démarche structurée qui passe entre autres par :

Élaboration de la cartographie des risques opérationnels

La première étape de la démarche de suivi du risque opérationnel consiste à établir une cartographie des risques. Cette cartographie s'appuie sur une analyse des processus métier, avec laquelle on croise la catégorie des risques opérationnels.

Un processus métier désigne un ensemble de tâches coordonnées en vue de fournir un produit ou un service à la clientèle. La définition des processus métier répond en premier lieu à un découpage économique de l'activité de l'organisation, et non à un découpage organisationnel avec un accent sur les activités critiques ou majeures surtout dans le contexte actuel.

L'identification des processus métier part ainsi des différents produits et services et identifie les acteurs (qui peuvent appartenir à des entités différentes au sein de l'organisation) et les tâches impliquées dans la fourniture de ces produits.

À chaque étape du processus, on associe ensuite les événements susceptibles d'en perturber le déroulement et d'entraîner la non-réalisation des objectifs du processus (en termes de résultat concret ou en termes de délais). Pour chaque événement, le risque inhérent est évalué selon l’échelle de l’organisation en termes de :

• Probabilité d'occurrence,
• Impact en cas de réalisation.

Chaque événement à risque doit être rattaché à une catégorie de risques rendant ensuite l'analyse des données plus facile et rapide, et sur le plan organisationnel à la ligne métier où l’événement a eu lieu. Le comité de Bâle a d'ailleurs défini des listes de rubriques standard applicables dans ces domaines (cf. plus haut).

La classification des risques reflète la vision dont la direction souhaite disposer au plus haut niveau, doit permettre d'établir des synthèses transverses à toutes les activités, et à ce titre, doit être établie par une fonction centrale de suivi des risques opérationnels.

Par ailleurs, l'analyse des processus métier et des risques encourus doit être confiée aux opérationnels concernés. Ceux-ci s'appuieront sur un cadre de travail rigoureux et identique pour tous, mais qui leur permet de décrire leurs activités.

Une fois, le risque inhérent évalué, il convient d’apprécier la maîtrise du risque à travers l’évaluation du dispositif de contrôle. Cette maîtrise passe par une évaluation des mesures d’atténuation du risque inhérent en tenant en compte les plans de contrôles et d’action, des constatations, des procédures, des indicateurs clés et autres facteurs permettant d’avoir le risque résiduel au titre du risque opérationnel.

Le niveau de sévérité du risque résiduel permet de classifier les risques selon leur importance et leur criticité et les processus les plus critiques doivent faire d’une analyse d’impact d’affaires et de plan de continuité des activités.

Recensement des événements de risques opérationnels 

L'identification a priori des risques aboutit à une cartographie « théorique » des activités, mais seule l'expérience permet de valider cette description pour d'abord identifier les zones d'activité sensibles, puis ensuite y mettre en place les contrôles adéquats. On passe alors à la collecte des événements et incidents constatés dans une base historique, permettant d'évaluer les impacts réellement subis par l’organisation.

La collecte s'effectue généralement sous forme déclarative. Les opérationnels remplissent des fiches standardisées qui sont ensuite saisies dans une base de données, ou saisissent directement dans l'outil. On peut également prévoir, en particulier pour les incidents de type panne informatique, une collecte automatique ou semi-automatique (« rapport de panne » produit automatiquement puis complété manuellement des montants de pertes encourues).

De telles bases, alimentées sur plusieurs années consécutives, deviennent une source précieuse d'information pour la gestion des risques opérationnels. Ces données permettent de dégager une vision objective, chiffrée, des risques encourus, à condition bien sûr d'avoir été constituées d'une manière fiable et réaliste.

La collecte des événements s'appuie sur la cartographie précédemment établie pour le recensement et le référencement des incidents. Elle permet de peaufiner cette cartographie afin de mieux cerner les vulnérabilités majeures de l’organisation.

Par exemple, pour les banques, une étude réalisée par «Operational risk management in financial services (ORX)» évalue à 16,7 milliards de dollars en 2020 le montant des pertes opérationnelles enregistrées dont 13% relatives à la pandémie (soit 2,17 milliards de dollars). En juin 2021, voici les principaux risques opérationnels identifiés par ORX dans son analyse :

• La sécurité de l'information (y compris la cybersécurité) reste la plus grande préoccupation de l'industrie, avec le potentiel d'avoir un impact financier, opérationnel et de réputation sur les organisations,
• Le recours accru à des accords avec des tiers suscite des inquiétudes quant au risque de concentration et à une exposition accrue à la continuité des activités, en particulier lorsque la surveillance des contrôles de tiers est jugée insuffisante,
• La conformité réglementaire est désormais l'un des trois principaux risques, car le paysage réglementaire continue d'évoluer rapidement,
• Le risque technologique reste une préoccupation majeure, avec des attentes croissantes des clients et la concurrence des FinTechs voyant un nombre croissant d'entreprises adopter de nouvelles technologies ou de nouveaux systèmes (souvent via des tiers).

Suivi et supervision du risque opérationnel

Il convient de mettre en place des mécanismes efficaces de suivi des risques opérationnels afin de capter et d’identifier tout événement pouvant modifier le portrait (profil de risque) de l’organisation à travers un dispositif de captation des changements. Ce mécanisme concerne entre autres ; les événements internes et externes y compris avec les tiers, les incidents, les pertes, l’appétit et la tolérance au risque, les indicateurs clés de risques, les constatations, les nouvelles activités, nouveaux processus et systèmes, les fusions, acquisitions et cessation d’activités, les réclamations des clients, les condamnations ou sanctions, etc.

Ce mécanisme de suivi doit faire l’objet de reddition de compte et d’escalade tant au niveau des opérationnels, seconde ligne de défense et auprès des instances y compris le conseil d’administration. Cette reddition de compte peut se faire dans des tableaux de bord (incluant le suivi de la performance) et le suivi des réponses au risque résiduel (acceptation, atténuation et transfert).

Le suivi d’informations permet à la seconde ligne de défense, à la direction et aux instances d’avoir une supervision efficace du risque opérationnel de l’organisation et d’évaluer comment il contribue à l’atteinte de ses objectifs.

Conditions de succès

• Impulsion de la direction avec des objectifs au titre du risque opérationnel ;
• Meilleure connaissance des processus, activités et systèmes métiers ;
• Avoir des ressources dédiées à la gestion des risques opérationnels (capacité et expertise) ;
• Séparation des tâches et des activités (ex. modèle des 3 lignes de défense).

Bibliographie

Quelques liens utiles

• International Organization for Standardization (ISO)
• Committee of Sponsoring Organizations of the Treadway Commission (COSO)
• Operational risk management in financial services (ORX) :
  • Banking Operational Risk Loss Data Report 2021
  • Top Risk Review June 2021