PILOTAGE – Une méthodologie de cotation qui fédère tous les corps de contrôle – Chandara OK – Consultant, Expert en Réglementation et risques bancaires (Revue Banque Janvier 2015)

Chandara OK

La recherche de pilotage effectif des risques amène à élaborer plusieurs cartographie thématiques. En outre, au critère de pertes monétaires doit s’ajouter un système de cotation plus qualitatif, pour inclure correctement des risques qui ne trouvent pas aisément une traduction monétaire. Enfin, reste à déterminer une grille de cotation commune à tous pour faciliter la compréhension et la coordination.


Les Banques ont pris l’habitude de qualifier le niveau de risque opérationnel en termes purement monétaires, notamment dans les exercices de cartographie: ce choix s’explique aisément, car la réglementation bâle II et la doctrine les y poussent. En outre, tout le monde comprend facilement la notion de montants de pertes. Avec le temps la recherche d’un pilotage effectif des risques amène à élaborer d’autres cartographies thématiques. On s’aperçoit alors que le critère de pertes monétaires n’est pas pertinent pour mesurer toutes les natures de risques, en particulier les risques de non-conformité: Il faut donc trouver un système de cotation plus adaptée plus « qualitative ». Notons que les équipes de contrôle permanent et de contrôle périodique utilisent déjà des cotations de ce type. Sans abandonner pour autant l’étalon monétaire, on est donc logiquement amené à souhaiter une grille de cotation commune à tous. Elle faciliterait la compréhension par les métiers, la direction générale et.. les collaborateurs risques-contrôles eux-mêmes !

PLUSIEURS CARTOGRAPHIE DES RISQUES

Pendant longtemps, beaucoup d’établissements se sont contentés de n’élaborer qu’une seule cartographie des risques: celle des risques opérationnels. Ce choix correspond à la vision de bâle II qui regroupe dans une catégorie unique « risques opérationnels », ce que les textes français ventilent entre plusieurs risques différents. C’est ainsi que l’article 4 du règlement  97/02 distingue au minimum le risque juridique et le risque de non-conformité, puis l’article II-7, le risque lié à la lutte contre le blanchiment du terrorisme. Aujourd’hui, il devient difficile de ne pas élaborer une cartographie spécifique aux risques de non-conformité. D’ailleurs l’ACPR réclame un tel document au démarrage de chaque mission de contrôle sur place. Les praticiens et les utilisateurs de cartographie savent aussi qu’il devient vite illisible de faire cohabiter dans un même documents des natures de risque aussi différentes que le risque d’erreur et d’inadaptation des organisations, avec le risque de non-respect de la réglementation, ou de ne pas appliquer des décisions des organes de décision !

Enfin, construire une cartographie n’est évidemment pas une fin en soi, encore faut-il qu’elle soit utile et serve dans le pilotage effectif des risques. On voit hélas encore trop souvent des cartographies de risques élaborées « en chambre » ou qui se retrouve reléguée au placard, ne sortant très périodiquement que pour les besoins de communication. Dans une organisation dans laquelle on attribue le pilotage de chaque famille de risque à un « pilote » de risque clairement désigné (pilote qui a la tâche d’animer l’ensemble du dispositif de gestion de ce risques et du contrôle permanent associé) il devient logique de lui permettre d’exploiter sa propre cartographie. Tout en ayant l’obligation stricte de respecter des principes structuraux communs, celle-ci pourra par exemple avoir le niveau de granularité que le pilote de risques estimera utile, même très fin.

Dans la cible, la cartographie unique « à tout faire » est donc remplacée par un ensemble de cartographie regroupées en deux niveaux, chacun avec un objectif distinct. Les cartographies sont liées aux contrôles permanents permettant de contrôler ces risques. Selon le modèle de conditionnement, on pourra par exemple créer une cartographie liée à l’externalisation pour les petits établissements ayant recours massivement à la sous-traitance, ou une cartographie du risque de fraude pour les établissements en ligne, sans réseau, ect.

LE CRITÈRE MONÉTAIRE N’EST PAS ADAPTE AUX RISQUES DE NON-CONFORMITÉ…

Le critère de pertes monétaires se révèle à l’évidence inadapté pour mesurer les risques de non-conformité. En premier lieu parce que la non-conformité recouvre une grande variété de notions:

  • Le respect des textes et des normes professionnelles
  • Les aspects déontologiques
  • L’atteinte à la réputation
  • Le respect des instructions données par les organes de direction
  • Les perles monétaires significatives (seul cas ou l’étalon monétaire s’applique naturellement).

On pourra toujours affirmer que ces natures d’événement auront tôt ou tard une conséquence monétaire, mais le lien est souvent tellement indirect ou lointain, qu’il est illusoire de prétendre pouvoir faire une évaluation suffisamment fiable. Certains considèrent l’amende (ou condamnation pécuniaire) comme l’étalon à utiliser. Là aussi, sauf dans les cas heureusement peu fréquents des sanctions « extrêmes » infligées par l’OFAC depuis 2 ans, elle ne représente qu’une partie des impacts négatifs pour une banque. Le montant de l’amende devrait être utilisé plutôt comme un support à une cotation plus globale.

« Dans une organisation dans laquelle on attribue le pilotage de chaque famille de risque à un « pilote » de risque clairement désigné il devient logique de lui permettre d’exploiter sa propre cartographie »

ET NE REFLÈTE PAS COMPLÈTEMENT LE RISQUE OPÉRATIONNEL

Le critère monétaire ne reflète d’ailleurs pas complètement le risque opérationnel stricto sensu. Un défaut d’adaptation d’une organisation peut donner lieu à une perte directe et à des pertes imputables. Mais comment appréhender les pertes indirectes ou alors les pertes d’opportunité c’est à dire le gain auquel on aurait pu prétendre sans ce problème? Les montants affichés dans les cartographies ou dans les collectes de pertes sont donc sous-estimés, sans parler des incidents non identifiés… De plus, l’impact monétaire n’est qu’une conséquence ( ou plutôt k’une des conséquences) d’une prise de risque et non la cause. Il ne reflète pas ou que (très) partiellement l’efficacité d’un processus opérationnel ou des mesures de limitation de risques.

N’utilisons donc les critère monétaire que pour e qu’il est et pour alimenter les modèles quantitatifs permettant de calculer les besoins en fonds propres au titre de la méthode AMA de Bâle. Par ailleurs, dans les exercices de cartographie des risques et dans les reporting de suivi des risques, la doctrine voudrait que l’on définisse également des KRI (Key Risk Indicators) en même temps que les montants de pertes. Dans les faits, il n’est pas aisé de trouver des données quantitatives ou ratios véritablement pertinents et il faut donc les considérer plutôt comme des complémentes secondaires dans le suivi des risques.

DES GRILLES DE COTATION DU RISQUE DE CONFORMITÉ QUI RESTENT DISPARATES

Les contrôleurs permanents de second niveau et les auditeurs on déjà l’habitude d’utiliser les cotations qualifiant l’importance des constats-recommandations formulés ou sur le degré de conformité du processus contrôlé dans son ensemble. Les premiers évaluent principalement le degré de respect des procédures, alors que les seconds s’intéressent davantage à la qualité du dispositif de contrôle interne en place. Le premier constat est que souvent ces deux corps de contrôle ne se coordonnent pas et n’utilisent pas la même grille de cotation: ce qui ne facilite pas la lecture des rapports, tant pour les managers métiers que pour la direction générale. Les second constat est que la définition des cotations utilisées n’est souvent pas assez explicite: quels sont les critères permettant de coter une situation en orange plutôt qu’en rouge (dans le cas d’une grille de couleurs vert-bleu-orange-rouge)?

Et force est de constater que beaucoup de contrôleurs et d’auditeurs on la mains lourde. Qui n’a pas remarqué que les rapports comportaient de très nombreux constat-recommandation en rouge? C’est à dire le niveau le plus grave ou le plus prioritaire. On ne peut que regretter cette avalanche qui noie les points réellement importants avec les points plus secondaire, les causes avec les conséquences. Même en matière de (non)respect d’un texte réglementaire, il y a des niveaux de gravité différents quand on cherche à être pragmatique. Au global, qu’elle que soit la fonction exercée – auditeurs, contrôleur permanent, conformité, risk Manager, on travaille dans un seul et même but: La maîtrise des risques, chacun avec une matière différente. Il est donc logique de vouloir recherche un cotation des risques en commun? Par forcément exactement la même grille pour tous, mais au moins avec des tables de correspondance.

UNE PROPOSITION DE GRILLE DE COTATION QUALITATIVE COMMUNE

Cette grille de cotation sert à la fois à qualifier un niveau de risque (de toute nature) et à la qualité d’une organisation du point de vue de la maîtrise des risques. elle comporte 4 Niveau (de A à D) avec un 5e niveau (E) réservé aux alertes très graves. Jusqu’à un passé récent, une grille à 4 niveaux aurait pu suffire pour coter les risques d’une banque. Mais depuis deux ans, on relève des non-conformités qui se traduisent par des amendes records infligées par les autorités américaines, pouvant être associées ou non à une interdiction temporaire d’exercer. Lorsque ces amendes atteignent une somme telle que 9 Milliards de dollars comme pour le cas de BNP-Paribas elle sont à même de faire descendre les plus grandes banques en dessous des ratios planchers Bâle III. Par ailleurs, comment un établissement d’ambition internationale peut-il survivre à une interdiction de traiter en USD pour une période même temporaire de 6-12 mois? Ceci amène à créer une 5e position (E) réservée au cas critiques. Les actions correctives dépassent le niveau local et touche à la stratégie ou au modèle de fonctionnement. Lors de la lecture des recommandations ou des résultats des cartographies par les organes de directions, cette méthodologie permet de mieux appréhender la réalité des risques ainsi que les déficiences du dispositif de contrôle interne. elle nécessite par contre une implication forte, voire une certaine… Prise de risque de la part des responsables risques et contrôles.

COMMENT UTILISER CETTE GRILLE DE COTATION QUALITATIVE?

Dans l’approche proposée ici, on utilise donc une cotation double pour toutes les catégories de risques:

  • Une cotation qualitative selon la grille  du niveau global de maîtrise de risque d’un processus
  • Une cotation par les pertes, qui lui est obligatoirement associée, qui donne les conséquences monétaires quand elle existent.
  • Les KJR et le suivi des incidents ou des réclamations sont des compléments dans une optique d’illustration et comme des indicateurs instantanés.

A la question concernant les critères permettant de choisir de la note qualitative (de A à E), il existe deux types de source:

  • Les sources internes : le résultat des cotations précédentes, les résultats et les cotations issus des contrôles permanents, les résultats du contrôle périodiques, les incidents identifiés et les réclamations
  • Les sources externes, notamment pour appréhender les risques de non-conformité réglementaires et par rapport aux pratiques de place. Il est ici nécessaire de sortir de la banque: La veille réglementaire, les échanges avec le superviseur, les échanges avec les confrères, les formations et conférences externes. Enfin il est indispensable de connaître les sanctions prononcées par les autorités administratives afin de pouvoir qualifier le niveau de gravité d’un risque détecté au sein de l’établissement.

On peut pour cela consulter les sites internet de l’APCR ou de l’AMF. Néanmoins, la lecture des textes bruts n’est pas toujours aisée et le lecteur manque de repères. L’idéal est alors de disposer d’une base de données permettant non seulement la veille sur la publication des textes mais aussi d’une certaine vulgarisation des conséquences et enjeux qui permettent à tous les collaborateur concernés de comprendre la portée des sanctions. Ainsi la mise en gestion efficace des risques demande un investissement certain en organisation et en moyens pour que celle-ci ne soit pas que la réponse à une injonction réglementaire, mais bien un outil de pilotage et de prévention des risques dans un établissement.