Analyse Du Dispositif de Maîtrise de Risque Opérationnel

Confidentialité

Les études présentées dans ce document contiennent des informations confidentielles dont la diffusion pourrait porter préjudice à la Société Générale Securities Services. Leur diffusion est donc strictement limitée aux membres du jury, tenus au devoir de réserve. Aucune reproduction ni consultation ne sera autorisée sans l’accord préalable de la Société Générale Securities Services.

Il est donc de la responsabilité de l’UPEC de garder confidentielle la totalité du contenu de ce document.

Remerciements

Je tiens à remercier et à témoigner toute ma reconnaissance aux personnes suivantes, pour l’expérience enrichissante et pleine d’intérêt qu’elles m’ont fait vivre.

Je souhaiterais manifester toute ma reconnaissance à ma responsable Mme Sylvie LECARPENTIER – MOYAL et à tout le corps professoral de l’UPEC pour la qualité de cette formation enrichissante.

Je tiens à remercier particulièrement ma tutrice pédagogique Mme Sophie Laruelle pour l’encadrement et le conseil prodigué durant la rédaction du mémoire.

Mes sincères remerciements à Mr. Stéphane CALAMARO et à Mr. Lyonel PELOPONESE de m’avoir donné l’opportunité de travailler chez SGSS, m’intégrer à leurs équipes, et Mr. Rachid HAFIDI pour l’écoute et le conseil dans les recherches effectuées.

Ma profonde gratitude va également à mon maitre d’apprentissage, Mr. Dieudonné LENG qui m’a beaucoup aidé et guidé dans la rédaction du mémoire.

Et enfin à ma famille et à tous ce qui de près ou de loin ont contribué à la réussite de ma formation.

Liste des sigles et des abréviations

SG – Société Générale

SGSS – Société Générale Securities Services

OTC – « Over The Counter », Produits dérivés

CDS – Credit Default Swap

RO – Risque Opérationnel

AMA – Approche de mesure avancée

BIA – Approche indicateur de base

TSA – Approche standard

RBDF -Banque de détail en France

IBFS – Banque de détail et services financiers internationaux

GBIS – Banque de Grande Clientèle et Solutions Investisseurs

BCN – Bibliothèque de Contrôles Normatifs

Liste des figures et des tableaux

Figure 1. Produits dérivés OTC : encours notionnels, en trillions de dollars

Figure 2 : La VaR opérationnelle (Op VaR) à 99,9%

Figure3. Processus de gestion du risque opérationnel

Figure 4. Répartition du PNB 2015 par métier

Figure 5. KRI marquants du trimestre

Figure 6 : Résultat d’exercice de RCSA, 2015

Figure 7 : Matrice impact-fréquence RCSA

Figure 8 : Cartographie des risques opérationnels, MOS

Tableau 1. Extraction d’une partie des risques compris dans BCN (FSO)

Tableau 2 : Risques opérationnel au sein de Pricing

Tableau 3 : Risques opérationnel au sein de Middle Office

Tableau 4: Risques opérationnel au sein de MOA

Tableau 5: Statistiques écart, semaine 23

Introduction

Au cours des dernières années, les évènements issus du monde financier ont souligné l’importance des marchés de produits dérivés, mais aussi leur degré de risque. Leur bon fonctionnement a été soumis à un ensemble de mesures réglementaires visant la transparence et la gestion des risques. L’objectif est de renforcer le système financier mondial et de veiller à sa solidité.

Sous l’impulsion des contraintes règlementaires et des efforts conjoints des agents concernés, le fonctionnement des marchés de gré à gré s’est amélioré, mais des lacunes existent dans le processus de maîtrise et de surveillance des risques. Les scandales intervenus récemment dans plusieurs banques, ont souligné qu’au-delà des risques de marché ou de crédits, des défaillances opérationnelles peuvent survenir à n’importe quel moment, avec des pertes considérablement élevées.

Les risques opérationnels ont toujours existé dans les établissements financiers. Toute activité dans une entreprise repose sur un certain nombre de process qui font intervenir à la fois des ressources humaines et matérielles susceptibles de présenter des défaillances. Son origine vient du Comité de Bale, en 2004, où les régulateurs ont exigé la mise en place d’une allocation en fonds propres pour le risque opérationnel dans le cadre d’un nouvel accord. L’évaluation des fonds propres est insuffisante et leur dimensionnement pose problème. Les pertes sont difficiles à quantifier et le risque est beaucoup plus difficile à gérer que d’autres. La gestion du risque opérationnel s’impose comme une réponse adéquate à ces mesures régulatrices.

La mise en œuvre d’un dispositif complet va permettre d’identifier, évaluer, analyser et maîtriser tous ces incertitudes. Ainsi, chaque établissement bancaire va chercher à mettre en place un tel outil et des infrastructures nécessaires afin d’assurer une meilleure gestion.

Afin de répondre à un objectif réglementaire, mais aussi essentiellement à un objectif de rentabilité, Société Générale a développé des dispositifs, des infrastructures et des procédures pour renforcer la maîtrise et la surveillance du risque opérationnel.

Un tel dispositif comporte :

Dispositif de pilotage

Prévention des risques spécifiques

Contrôle interne

Identification et évaluation

De même, des outils informatiques comme Caroline, Moka, GPS, ou des textes réglementaires viennent de s’ajouter aux autres moyens déployés.

Les principes clés de SGSS sont :

Donner la priorité au client

Etre un pilier important dans la chaine post-trade

Renforcer la position géographique

Développer l’offre de services

Renforcer l’efficacité, tout en maîtrisant le risque opérationnel

Une étude a été réalisée au sein de MOS de SGSS afin d’identifier les principaux zones sensibles, de les évaluer et de découvrir les mesures correctives mises en place.

Le point important de cette analyse et que les opérationnels ont une vision très précise des paramètres du risque et sont très sensibilisés. Ils ont conscience de l’exposition aux dangers et de l’importance des échanges réalisés sur ce sujet. La volonté des personnes d’admettre l’importance d’une telle défaillance, d’échanger et de chercher des solutions est un point crucial dans la gestion quotidienne du risque opérationnel. Ainsi, les opérationnels se préoccupent du développement d’un outil qui va permettre l’amélioration d’un tel processus. Divers actions sont menées afin de diminuer le niveau de risque et d’améliorer le processus post-trade. Les incidents font l’objet des rapports statistiques, qui seront remontés aux managers, aux équipes concernées, et aussi aux investisseurs.

La Direction des risques, elle aussi, surveille au respect des limites, des normes, à l’application de solutions proposées. Chaque mois elle intervient auprès des services pour identifier des nouvelles zones sensibles, pour déterminer les conséquences et pour informer la Direction Générale.

Une cartographie a été réalisée au sein de MOS de SGSS afin de donner une image exhaustive et hiérarchisée des risques potentiels et de leurs impacts. Apres avoir identifié et évalué les dangers, le plan d’action sera présenté, pour une amélioration continue du procès de gestion.

L’actualité de ce sujet est de souligner le rôle d’une gestion efficace des risques opérationnels, dans un monde où la pression règlementaire, la concurrence, l’innovation et les difficultés financières restent actuelles.

L’objectif de cet ouvrage est de présenter le procès de gestion de risque opérationnel au Société Générale et de fournir une vision globale des risques opérationnels au sein de MOS, de Société Générale Securities Services.

L’intérêt de ce mémoire repose sur :

Pour SGSS, cette étude lui permettra d’avoir une vision globale des risques susceptibles, de la qualité des dispositifs et des actions à mettre en place ;

Pour moi, de mettre en pratiques les enseignements suivies à l’université, mais également de mettre mes compétences à profit de SGSS;

Pour le lecteur, une source d’information concernant le risque opérationnel au milieu d’une société de gestion.

L’ouvrage porte sur 2 parties :

Une première partie, qui présente les concepts théoriques aux regards des marchés OTC, produits, risque opérationnel et le procès de gestion de ce type d’incertitude.

Une seconde partie, qui présente les aspects pratiques de la gestion du risque opérationnel au niveau de Groupe, de filière et service.

Chapitre 1. Marché OTC : Produits et méthodes de valorisation

1.1 L’importance du rôle des marchés OTC

Depuis 2007, nous avons appris qu’il y avait un autre système qui méritait notre attention : le système financier. La crise financière à mise en lumière l’importance du bon fonctionnement des marchés à l’égard des objectifs de stabilité financière. Les marchés des produits dérivés sont, ainsi, mis dans le viseur des autorités publiques compétentes, lorsque le manque de transparence et des lacunes dans la gestion des risques sont remarqués. Une série de mesures réglementaires se voient imposée par la Commission Européenne, qui doit changer de paradigme : la législation doit permettre aux marchés d’évaluer correctement les risques et comprendre que la réglementation doit être endurcie.

Les produits dérivés jouent un rôle significatif pour l’économie et pour le système financier. Ce sont des contrats financiers bilatéraux, qui sont pour les agents économiques des outils importants de gestion de risque. Ainsi, leur utilité dérive de leur emploi dans des fins de couverture, spéculative et d’arbitrage. Les instruments de gré à gré permettent d’élargir les opportunités d’investissement, en donnant un accès rapide et moins couteux. Ainsi, ils renforcent l’efficience des marchés, par le biais des écarts entre les prix des marchés dérivés et les marchés au comptant. Cependant ils peuvent présenter une source de risque systémique. Les produits OTC sont donc utiles pour l’économie et leur croissance continue n’est pas surprenante. ROUSSO D. (2010)

Les volumes des transactions qui passent par les marchés OTC sont beaucoup plus importants que les volumes traités sur les marchés organisés. La raison est que sur les marchés organisés, la présence physique des actifs est essentielle, en tant que sur les marchés de gré à gré, ce sont des produits qui ont pour sous-jacent un actif, donc pas de détention physique.

Figure 1. Produits dérivés OTC : encours notionnels, en trillions de dollars

Source : BIS.org

La valeur des actifs ne représentent pas la valeur des transactions sur le marché des actifs dérivés. Le graphique 1 représente l’évolution du volume des produits OTC traités ces dernières années. En juin 2015, la taille de marché OTC était estimé à 552,9 trillions de dollars. La valeur des ensembles de contrats de gré à gré était de 15,5 trillions de dollars.

La crise a souligné l’importance des mesures réglementaires sur les marchés de dérivés. Si les faiblesses ont été évidentes au niveau des CDS, il est nécessaire de remédier toutes ces lacunes sur l’ensemble des produits dérivés. La transparence des marchés dérivés est un vrai défi pour les régulateurs, car il est impossible de suivre correctement les expositions aux risques et d’estimer des risques potentiels. Aujourd’hui on assiste à un changement radical dans le traitement des produits dérivés. Si en 2011, les autorités se fixaient comme objectif la mise en place d’une compensation centrale, en 2016 on est témoins de l’accomplissement de cet objectif. Tous les produits dérivés doivent faire l’objet d’une compensation centrale, en rendant le marché transparent.

Les turbulences financières ont mis en évidence l’inefficacité des méthodes de gestion de risque de contrepartie et de liquidité, en tenant compte de la complexité de cette catégorie de produits financiers. L’absence de standardisation et d’automatisation a favorisé l’apparition d’un risque opérationnel.

1.2 Description et modélisation des produits dérivés OTC

Par la suite, on présente les instruments dérivés et leurs modèles de valorisation. On utilise comme référence les produits traités chez SGSS et les modèles d’ingénierie financière pratiqués.

Swap de taux d’intérêt

C’est un contrat entre deux contreparties qui s’engagent à se verser des flux d’intérêts à des dates et fréquences précises et ceci dans une même devise. L’un des flux est indexé sur un taux variable (ex : Euribor), tandis que l’autre flux est indexé sur un taux fixe. Il n’y a pas d’échange de notionnel.

Jambe fixe : Tombées d’intérêts calculées avec un taux fixe appliqué au nominal de l’opération (base de calcul et périodicité étant définies) ;

Jambe flottante : Tombées d’intérêts calculées avec un taux variable appliqué au notionnel de l’opération (taux variable, base de calcul, périodicité et modalité de fixing étant définies).

Les catégories IRS :

Vanilla Swap

Basis Swap

Cross Currency Swap

Non Deliverable Swap

Swap Inflation

Dans le cas des IRS Vanilla, les contreparties s’échanges les flux qui portent sur une jambe fixe, contre ceux d’une jambe variable, en tant que les Swap de base comportent deux pates flottantes. Par défaut, acheter un IRS Vanilla suppose de payer la partie fixe et de recevoir le taux variable.

Avant la crise de 2008, une seule courbe était utilisée pour construire les IRS et pour actualiser les cash-flows. Elle était constituée de tous les instruments du marché : Eonia, Euribor 1W, E3M, E6M. Avec la crise, cette théorie n’est plus appropriée. En attente d’un modèle, les praticiens se sont mis d’accord sur la construction d’autant des courbes que des maturités (1M, 3M, 6M, 1Y). Aujourd’hui, les standards des pricing utilisent deux courbes : une courbe pour l’évaluation des futures cash flows, se basant sur une courbe de sous-jacent, et une autre, appelée « Discount Curve ».

Exemple de pricing de Vanilla IRS. La valeur Mark-to-Market peut être déterminée en actualisant séparément la valeur de la jambe fixe et de la jambe variable.

La valeur présente de la partie fixe est donné par :

K – taux d’intérêt de swap

n- nombre de paiement du taux fixe

N – notionnel

– « accrual facteur » facteur d’actualisation qui correspond à une période donnée (x/365).

– facteur d’actualisation qui correspond au paiement en .

T – date de paiement

La valeur de la jambe flottante est donnée par la valeur présente du coupon qui sera payé aux dates convenues.

m- nombre de paiement de taux variable

– accrual factor

Le taux de swap est le taux qui égalise les paiements à taux fixe aux paiements à taux variable.

IRG : CAP / FLOOR

Un cap (taux plafond garanti) est un contrat à terme conclu de gré à gré permettant à l’acheteur de se garantir contre une hausse des taux, en fixant un taux plafond pour une durée et un montant déterminé. L’acheteur du cap reçoit, à échéances fixes, une somme correspondante à la différence entre le taux de référence (Euribor, Libor, …) et le taux plafond.

Un floor (taux plancher garanti) représente l’opération inverse du cap : il s’agit d’un contrat à terme conclu de gré à gré, permettant à l’acheteur de se garantir contre une baisse des taux en fixant un taux plancher pour un montant et une durée déterminé. Lorsque le taux du marché est inférieur à ce taux plancher, la différence est versée à l’acheteur.

CDS

Le Credit Default Swap (CDS) consiste à transférer le risque de crédit par le biais d’un swap. Une contrepartie qui souhaite s’assurer contre un défaut de paiement achète la protection et verse un coupon au vendeur. Celui-ci prend un engagement ferme de dédommager l’acheteur en cas d’évènement de crédit affectant une entité de référence et survenant jusqu’à la fin de l’exercice du contrat.

Chacune des jambes du CDS peut être soit américaine (c’est le cas le plus courant), soit européenne. La différence réside dans la prise en compte d’un événement de crédit dans la vie du produit. La jambe fixe est représentée par le coupon payé périodiquement par l’acheteur de contrat. Si la patte fixe est américaine, le coupon sera payé jusqu’au défaut de l’émetteur et cesse après. Dans le cas d’une patte fixe européenne, le paiement du coupon se fera jusqu’à la date de maturité initialement fixée pour le CDS. La jambe flottante correspond aux indemnités payées par le vendeur. Dans le cas d’une patte flottante américaine, le versement est effectué au moment du défaut, dans le cas d’une patte flottante européenne – à la date de maturité prédéterminée. Des paiements upfront (avant le début du contrat) sont toujours négociés entre les deux contreparties puisque le spread est fixé à 100bp ou 500bp.

Concernant les procédures de règlement, il y a le « Physical settlement » (règlement physique) et le « Cash settlement » (règlement cash). Les CDS, comme les tous les produits OTC sont traités sous ISDA Master Agreement. Les indicateurs clés d’évènement de crédit sont : défaut de paiement, faillite, restructuration. Les maturités sont fixées à 20 mars, 20 juin, 20 septembre ou 20 décembre. La prime se rapporte au spread, exprimé en BP par an sur le nominal.

La patte fixe est égal à :

– probabilité de survie

– probabilité de défaut né-conditionné entre i-1 et i.

La patte flottante :

(1-R) – taux de recouvrement

Donc le spread qui donne zéro pour le pricing d’un CDS à l’instant initial est :

Equity Option

C’est un dérivé de l’option. Le sous-jacent peut être un actif, un index ou un basket. Il donne à l’acheteur le droit d’acheter ou vendre un actif à un prix fixé à l’avance (Strike), à une date déterminée. (Documentation interne)

Ils sont valorisés par la méthode Black-Sholes :

C(t) = S()

P(t) = S()

Où sont égaux à:

« S’ils ne sont pas nouveaux, les dérivés constituent l’une des principales innovations qu’ont connues les marchés financiers ces dernières décennies. L’innovation financière, comme toute autre forme d’innovation, que ce soit dans la vie économique ou ailleurs, est un processus continu. Elle réagit aux changements, elle vise à répondre aux besoins existants et nouveaux de manière inédite, elle va et vient, elle stimule les activités et parfois elle éclate ». HENRI DE CASTRIES & BENOÎT CLAVERANNE

Chapitre 2. Cadre théorique de la gestion du risque opérationnel

2.1 Risque opérationnel. Définition, typologie, approches de mesure

2.1.1 Définition et typologie

Au-delà d’une vision traditionnelle des risques financiers, évoquant le risque de marché ou le risque de crédit comme des facteurs clés dans la défaillance d’une banque, les événements récents ont rappelé qu’une autre source de pertes financières pouvait avoir ses origines dans le fonctionnement opérationnel. Il existe plusieurs façons de définir le risque opérationnel, mais la définition retenue sera celle donnée par le Comité de Bâle, en 2001 «  le risque de pertes résultant de carences ou de défauts attribuables à des procédures, personnels et systèmes internes ou à des événements extérieurs ». Cette définition inclut le risque juridique, mais exclut le risque stratégique et le risque de réputation. La théorie bancaire n’a pas pris en compte cet aspect, en se limitant aux décisions purement financières ou stratégiques. En 1999, les régulateurs ont exigé la mise en place d’une allocation en fonds propres pour le risque opérationnel dans le cadre d’un nouvel accord de Bâle II. L’évaluation des fonds propres est insuffisante et leur dimensionnement pose problèmes. Les pertes sont difficiles à quantifier et le risque est beaucoup plus difficile à gérer que d’autres.

Les catégories de risque opérationnel, selon le Comité de Bâle :

Fraude interne

Fraude externe

Pratiques en matière d’emploi et de sécurité sur le lieu de travail

Pratique concernant les clients, les produits et l’activité commerciale

Dommage aux biens

Interruption d’activité et pannes de systèmes

Exécution des opérations, livraisons et processus

2.1.2 Détermination du capital réglementaire

Pour la mesure du risque opérationnel, trois options existent avec des exigences en fonds propres décroissantes en fonction de la sophistication de l'approche :

Approche indicateur de base (BIA) : C’est la méthode la plus simple, qui prévoit une proportion de 15% du PNB de la banque des trois dernières années.

Fonds Propres = 15% x PNB

Approche standard (TSA) : Elle prévoit une classification des métiers de la banque dans 8 lignes de métiers, donc un produit brut moyen des trois dernières années pour chaque métier. Ensuite, le PNB est multiplié par un facteur variable, spécifique à chaque activité, compris entre 12 et 18% et donné par le régulateur :

Finances des entreprises : 18%

Activité de marché (compte propre) : 18%

Banque de détail : 12%

Banque commerciale : 15%

Activité de paiement et règlement : 18%

Service d’agence : 15%

Gestion d’actifs : 12%

Activités de marché (compte tiers) : 12%

Pour l’application de cette méthode, la qualité du système de gestion du risque et le suivi des donnés de pertes sont des critères d’éligibilité à respecter (fbf.fr).

Approche de mesure avancée (AMA) : la banque calcule le capital réglementaire en interne. Le Comité de Bâle conseille aux grandes banques d’utiliser celle-ci, en imposant plusieurs conditions, comme une fonction de gestion de risque opérationnel, un historique de pertes, des rapports réguliers, une bonne documentation, et évidemment des contrôles d’auditeurs internes et externes. Elle exige que les banques soient capables d’estimer les pertes non attendues à partir de données internes et externes pertinentes, ainsi que d’analyses de scénarios. Il s’agir du calcul de la VaR au seuil de confiance de 99,9% et l’horizon temporel d’un an.

La banque va construire un modèle qui va utiliser des données historiques regroupées en 8 lignes de métiers et 7 types de risques. Une matrice de 56 cellules sera obtenue et il faut estimer la distribution de sévérité (le montant d’une perte) et la distribution de la fréquence (le nombre d’occurrences d’une perte). Le capital réglementaire propre à chaque cellule est défini en appliquant la VaR opérationnelle, qui correspond à un quantile de la distribution de pertes agrégées.

Figure 2 : La VaR opérationnelle (Op VaR) à 99,9%

Source : LAMARQUE E. & MAURER F. (2009), Revue française de gestion 

Le procès d’évaluation des pertes potentielles dues aux risques opérationnels comportent les phases suivantes :

a. Estimation de la distribution de la fréquence de la perte

La distribution de la fréquence de la perte représente le nombre de pertes pour chaque ligne de métier combiné avec un risque (une cellule). La loi la plus utilisée est « la distribution de Poisson », qui donne une estimation de la fréquence des pertes, supposant que celle-ci se réalise de manière aléatoire, sur une courte durée de de réalisation, avec une probabilité de réalisation, .

La probabilité de n pertes à l’horizon T est égale à :

b. Estimation de la distribution de la sévérité de la perte

On utilise une distribution de probabilité log-normale pour estimer la sévérité des pertes (avec la moyenne et l’écart type du logarithme de la perte comme paramètre). Cette estimation reste difficile en raison de donnés collectés de manière différente, mais d’une même nature. Pour pallier cet inconvénient, le Comité de Bale, a fixé en 2006, un seuil de 10 000 euros pour la collecte des données.

Les deux distributions sont combinées pour chaque type de risque et de ligne de métier, pour déterminer la perte totale, en effectuant une simulation Monte Carlo.

Estimation de la distribution de la perte agrégée

Une fois que les distributions de fréquence et de sévérité sont calculées, on peut déterminer la perte agrégée pour la ligne d’activité i et le type de risque j entre les dates t et t+h (h est fixé à un an par le comité). Elle est définie par : L (i, j) =

est la variable aléatoire représentant le montant d’une perte (sévérité) pour l’activité i et le type de risque j, et N(i, j) est la variable aléatoire de comptage (nombre d’événements de perte pour l’activité i dû au type de risque j) de fonction de probabilité .

Une fois la distribution de la perte agrégée estimée, on calcule la charge en capital pour la ligne de métier i et le type de risque j, donc le quantile α = 99,9 % de cette distribution. Le Comité de Bâle requiert une charge en capital qui doit couvrir que les pertes exceptionnelles.

Mise en œuvre de l’AMA

Le Comité de Bâle impose aux banques de prendre en compte les éléments suivants :

Données internes

L’historique trop court pour estimer les distributions

Faible sévérité et à fréquence élevée – fraudes à la carte de crédit (PFSFE)

Forte sévérité et à fréquence faible – les activités de trading frauduleux (PFSFF)

Données externes

Une première source c’est les accords de partage de données entre les banques, et la seconde, de sociétés spécialisées. En effet, les travaux de Shih (2000) suggèrent que l’effet de la taille de l’entreprise sur le montant de la perte est relativement faible.

Perte estimée pour la banque A = Perte réalisée pour la banque B x

Où α = 0,23. Donc les données externes peuvent êtres fusionnées avec les données internes après un ajustement approprié. Concernant les données de sociétés spécialisées, on ne peut pas utiliser les données rendues publiques par ces dernières, car seules les grandes pertes seront publiées.

Analyse de scénarios

L’objectif est de générer des scénarios susceptibles à couvrir un spectre large des PFSFF. Il n’existe pas une approche qui estimera les pertes, juste les pertes moyennes ou les pertes les plus élevées, ensuite on pourra utiliser une distribution log-normale. Si l’estimation de la sévérité peut être identique, en se basant sur des données externes, la fréquence des pertes doit être spécifique pour chaque banque, car elle reflète les contrôles internes mises en place et les types d’activités. LAMARQUE E. & MAURER F. (2009), Revue française de gestion 

2.2 Gestion du risque opérationnel

Sous l’impulsion du développement industriel, la gestion du risque opérationnel s’est imposée au secteur financier. En 2004, avec l’introduction du ratio Mac Donough (ratio de solvabilité bancaire où on ajoute aux risques de crédit et de marché, l’exposition au risque opérationnel), les établissements financiers s’organisent pour mettre en place des dispositifs de gestion de risque opérationnel, en s’efforçant de développer des méthodes efficaces et à cultiver la culture du risque auprès de tous les acteurs de la chaîne de valeur. Un tel outil devrait permettre d’identifier les causes des événements risqués, de déterminer la pertinence des contrôles et d’améliorer la performance de la gestion opérationnelle.

Avec l’inclusion du risque opérationnel dans le ratio de solvabilité, l’objectif du régulateur était d’inciter les banques à gérer le risque opérationnel de manière efficace et d’assurer une amélioration continue de ce procès. Ainsi, les établissements se sont engagés à mettre en place des dispositifs sophistiqués (la méthode AMA), ce qui leur permettra d’avoir une réduction de fond propres (en théorie, car la pratique montre que dans des affaires comme Kerviel, Nick Leeson, où les pertes sont considérablement élevées, l’exposition au risque est plus importante).

L’objectif d’une gestion efficace de risque opérationnel n’est pas de répondre aux contraintes réglementaires, mais d’améliorer la rentabilité de l’entreprise dans la durée. Ainsi, une sensibilisation des acteurs aux risques opérationnels pourrait baisser les coûts liés aux pertes opérationnelles et de réduire la probabilité et la sévérité des évènements susceptibles de baisser le résultat.

2.2.1 Cadre de gestion de risque opérationnel

Le risque opérationnel concerne tous les produits et toutes les activités. La gestion de celui-ci doit représenter un élément clé de tout programme de gestion de risques. La maîtrise va se faire en 4 étapes : identification, mesure, analyse, surveillance. Une bonne compréhension du risque opérationnel permet d’améliorer la prise de décision. Chaque banque a son propre modèle de gestion opérationnelle, mais l’essentiel d’un tel outil peut suivre le suivant cycle d’amélioration (voir graphique 3) :

PLAN

La Gouvernance a un rôle crucial dans le processus de gestion de RO, car c’est à ce niveau que toutes les décisions en matière de délégation des rôles sont prises. L’implication du management et la détermination des missions sont les critères de base d’acceptation des méthodes de calcul des fonds propres. Avec Bâle II, le management décide de la mise en place d’une organisation qui va comprendre au minimum un responsable risque opérationnel. L’idéal sera de rapprocher les démarches de gestion avec celles d’amélioration des procès, en se focalisant sur l’analyse des processus.

La mise en place des normes, méthodes, outils communs en termes d’indicateurs, surveillance, mesure, reportings, de vocabulaire permet d’avoir une comparaison fiable, tout en évitant les normes complexes et imprécises.

La cartographie des processus et des actifs est un pré-requis dans la construction d’une cartographie des risques. Il s’agit d’une classification économique des activités et non organisationnelle, donc conformément aux nouvelles méthodes ce sont les actifs qui requièrent plus de protection qui seront listés.

La cartographie des risques opérationnels intervient à plusieurs échelles. Elle vise à offrir une image de la répartition spatiale des aléas susceptibles de créer des pertes financières ou non-financières (ex : en termes de qualité).

L’évaluation des risques. Chaque incident qui peut générer un risque doit être évalué de manière quantitative et qualitative (fréquence et de gravité). Ensuite il doit être attribué à une ligne métier et à une catégorie. La méthodologie doit porter sur des véritables enjeux et offrir une image de grandeur de risque. On suivra une approche « top –down » ; on se focalise sur l’origine des pertes pour les plus sévères et pour les risques potentiels, on utilise l’analyse des scénarios.La mesure de risque opérationnel. Elle a pour objectif de mesurer le besoin en fonds propres. Ce point est spécifique aux banques. Ces dernières peuvent opter pour une des 3 méthodes, avec AMA, le model le plus utilisés.

Le traitement du risque. L’effet de cette étape est de trouver une solution à tout événement susceptible de provoquer des pertes. Les cinq types de réponses face à un risque sont :

Transfert vers un tiers via la sous-traitance de l’activité

Evitement : on met fin à une activité risquée

Autofinancement : on assure le risque en interne

Réduction : on diminue la probabilité par des plans d’actions

Acceptation : on supporte le risque en l’état

La définition des actions de traitement des risques grâce à des plans d’actions/recommandations. Le choix du model de réduction des risques doit prendre en calcul le coût de mise en place rapporté à la réduction attendue du risque.

La mise en place d’un dispositif de collecte des évènements à risque. Un pré-requis essentiel est la sensibilisation des collaborateurs à l’égard du risque opérationnel. Aussi, il est important d’avoir une idée de la capacité réelle à collecter les incidents et de mettre en place des règles communes de collecte.

Figure 3. Processus de gestion du risque opérationnel

Source: STOBAND O. & DE CASTELBAJAC L. (2011)

2. DO

L’objectif est de développer une action de conduite qui vise à ancrer une culture de risque à tous les niveaux, faire connaître la Direction des risques et échanger avec les opérationnels. Apres avoir défini un plan d’actions, il faut en surveiller à la mise en œuvre. Dans le cadre d’une démarche de gestion de RO, les incidents doivent être collectés, introduits dans une base de données et traités.

3. Check (évaluer le dispositif)

A. Des contrôles permanents sont effectués à deux niveaux 

Premier niveau : par des opérationnels ;

Deuxième niveau : un double contrôle. Le principe de séparation doit être respecté.

B. Audit

La gestion de RO doit être auditée par la Direction Audit.

4. Act

Cette dernière étape couvre le traitement des incidents. Elle consiste à élaborer des actions préventives et correctrices. L’amélioration continue du processus de gestion de risque opérationnel est assurée en visant les dispositifs qui doivent faire l’objet contrôles régulières et l’élaboration des mesures appropriées. STOBAND O. & DE CASTELBAJAC L. (2011)

2.2.2 Saines pratiques de gestion de risque opérationnel

Le Comité de Bâle a élaboré des saines pratiques de gestion de risque opérationnel en s’inspirant de ses travaux antérieurs sur la gestion d’autres risques. Il est inhérent au déroulement de l’activité d’une institution, et donc, n’est pas contrepartie d’un avantage attendu.

Elaboration d’un environnement adéquat

Le risque opérationnel doit être considéré comme un risque distinct. Le dispositif mis en place devait être approuvé et réexaminé périodiquement. Le conseil d’administration devrait assurer un audit indépendant, qui ne serait pas responsable de la gestion du risque opérationnel. La direction générale à la mission de garantir la mise en œuvre de ce dispositif, mais également d’élaborer des politiques appropriées en matière.

Identification, évaluation, suivi et atténuation du risque

Les banques devraient identifier et évaluer le risque opérationnel propre aux produits, activités, processus et systèmes de traitement. Une bonne identification des risques permet d’élaborer un outil approprié de maitrise de risque. Elle prend en calcul les facteurs internes (structure de la banque, la nature des activités, ressources humaines) et les facteurs externes (évolution du secteur bancaire). L’identification n’est pas suffisante, la détermination de la vulnérabilité de la banque face à ses risques devant être assurée. Les outils utilisés par les banques pour identifier et évaluer sont : RCSA, cartographie des risques, KRI, quantification du risque.

Elles sont responsables de la mise en place des processus de suivi régulier des profils des risques et des expositions, mais aussi de la maitrise des sources importantes des risques opérationnels et des plans de continuité.

Rôle des superviseurs

Toutes les banques sont obligées de mettre en place des dispositifs efficaces. Les superviseurs devraient évaluer périodiquement les politiques pratiquées en matière de risque opérationnel

La communication financière a un rôle pertinent dans l’évaluation des méthodologies de gestion du risque par les intervenants de marché. Comité de Bâle sur le contrôle bancaire (2003)

La gestion du risque opérationnel se trouve à un moment important dans son histoire. Le processus de maitrise de risque opérationnel est en plein essor et doit s’intégrer dans l’ensemble de dispositif de contrôle. Il est un élément essentiel dans le cadre de l’amélioration de la performance, qui vise la réduction des coûts, des défauts et des délais.

Chapitre 3. Gestion du risque opérationnel au niveau du Groupe Société Générale

3.1 Présentation du Groupe

Société Générale est une des plus grandes banques françaises, avec une implantation dans 76 pays, accompagnant plus de 30 millions de particuliers, de grandes entreprises et d’investisseurs institutionnels. Elle offre un large choix de solutions financières et du conseil.

3.1.1 Gouvernance

Le Conseil d’administration détermine les orientations de l’activité, veille à leur mise en œuvre et à leur contrôle.

La Direction Générale exerce ses pouvoirs dans la limite de l’objet sociale de la Société et sous réserve de ceux que la loi attribue expressément aux Assemblés d’actionnaires et au Conseil d’Administrations.

Le Comité Exécutif met en œuvre la stratégie, tout en s’assurant de la qualité et de la valeur ajoutée de ses projets envers ses clients, ses actionnaires et collaborateurs.

Le comité de Direction Groupe se réunit plusieurs fois par an. Il est un lieu d’échanges et de réflexion sur la stratégie et les questions d’intérêt général.

3.1.2 Stratégie et résultats financiers

Ambition

«  Etre la banque relationnelle de référence sur ses marchés, proche de ses clients, choisie pour la qualité et l’engagement de ses équipes ».

Priorité stratégiques :

Poursuivre l’amélioration

Développer l’activité et accroitre les synergies

Dégager une rentabilité durable

Figure 4. Répartition du PNB 2015 par métier

Source : Communiqué de presse SG, Février 2016

3.1.3 Organisation

Les 3 piliers de SG sont :

Banque de détail en France (RBDF)

Elle propose une palette de produits et services adaptés aux besoins des clients, dont 11 millions de particuliers et 777 000 clients professionnels, entreprises et organisations. La banque de détail combine 3 enseignes : Société Générale, Crédit du Nord, Boursorama

Banque de détail et services financiers internationaux (IBFS)

Ce pôle offre une large gamme de produits et services à 28 millions de clients particuliers, d’entreprises et de professionnels. Il regroupe le Réseau à l’international, l’Activité d’assurance (ASSU), la location et gestion de flottes (ALD Automotive) et le financement de biens d’équipement professionnels (SGEF).

Banque de Grande Clientèle et Solutions Investisseurs (GBIS)

Au niveau mondial, ce pôle exerce des activités de banque de financement et d’investissement, de gestion d’actif, de banque privée et de métiers titres.

Il combine CORI, GLFI, MARK, Newedge, Lyxor, SGPB, SGSS

Directions Centrales :

La Direction Communication

La Direction Contrôle Périodique

La Direction Financière

La Direction Ressources Humaines

La Direction Ressources et Innovation

La Direction Risques

Secrétariat Général

Le Département des risques opérationnels, rattaché à la Direction des risques du Groupe, travaille avec l’ensemble des équipes, des pôles d’activités et les Directions Centrales pour une gestion efficace et continue du risque. Il est responsable de la conception et mise en place des dispositifs de gestion, de promotion de culture risque, l’élaboration des méthodes et des politiques de gestion, l’animation de la filière « Risque opérationnel ». La filière comprend les responsables des pôles et des Directions centrales, rattachés au Directeur des risques opérationnels.

3.2 Politique en matière de maîtrise et surveillance du risque

La gestion des risques est devenue un des objectifs principaux de chaque établissement financier. Une maîtrise efficace renforce la solidité du Groupe, permettant ainsi d’améliorer la rentabilité et de développer la croissance. Les événements récents ont démontré que le risque opérationnel peut avoir un impact majeur sur les résultats et la réputation d’une banque. Afin de pallier ces manquements et de prévenir certains dangers, le Groupe Société Générale répond avec une stratégie appuyée sur 3 directions :

3.2.1 Dispositif de maîtrise de risque

Afin de répondre à un objectif réglementaire, mais essentiellement à un objectif de rentabilité, Société Générale a développé des dispositifs, des infrastructures et des procédures pour renforcer la maîtrise et la surveillance du risque opérationnel.

Dispositif de pilotage

Le dispositif de pilotage inclut :

Les Indicateurs Clé de Risques (KRI) fournissent une vision de l’évolution du profil de risque des métiers. L’objectif est d’alerter le management sur les activités porteuses de risque opérationnel et de suivre régulièrement son degré d’exposition.

Le suivi régulier de KRI contribue à la détermination de l’exposition du Groupe aux risques opérationnels. Cela complète l’évaluation effectuée via l’exercice d’auto-évaluation des risques et des dispositifs de prévention et de contrôle ( RCSA), l’analyse des pertes internes et les analyses de scénarios, en apportant  une mesure quantitative et vérifiable du risque et une évaluation régulière des améliorations ou des détériorations du profil de risque et de l’environnement de prévention et de contrôle, nécessitant une attention particulière ou un plan d’actions. Le suivi des KRI est requis pour des banques qui ont choisi la méthode approche avancée pour le calcul des fonds propres.

Il existe des KRI transversaux (communs aux différents Pôles et Directions centrales du Groupe) et des KRI fonctionnels, propres à chaque Pôle ou Direction centrale du Groupe. Ils évaluent l’exposition au risque, en définissant des seuils d’alertes en adéquation avec les politiques de gestion des risques. Les KRI ayant un impact majeur sont transmis aux Département des risques opérationnels des Pôles d’activités et des Directions Centrales (voir exemples de KRI en Annexe 1).

Le Département des Risques prépare pour la Direction Générale des reportings relatifs aux risques opérationnels encourus par l’établissement (voir figure 5).

Figure 5. KRI marquants du trimestre

Source : Les indicateurs clés de risque, Instruction 014102

Les pertes internes. Un événement de risque peut provoquer un ou plusieurs impacts financiers, un incident sans impact financier, ou une combinaison des deux. La collecte des pertes internes concerne l’ensemble des départements depuis 2003, en répondant à un double objectif :

Améliorer et renforcer le dispositif de maîtrise de risque. L’identification, l’analyse et la gestion des événements internes de risque opérationnel sont fondamentales pour assurer une bonne maîtrise de l’exposition au risque. Des données fiables permettent au Groupe d’avoir une bonne connaissance des coûts des impacts de l’événement susceptible de générer des pertes. L’analyse des causes permettra l’identification et la mise en place des plans d’actions. Les données internes sont utilisées également pour alimenter les autres composantes du dispositif de maîtrise des risques.

Constituer une base historique de données, utilisée dans la détermination des fonds propres réglementaire. Le Groupe a adopté l’approche avancée dans le calcul des capitaux propres. Il est donc indispensable d’utiliser ces données. Dans le cadre de la méthode AMA, les pertes internes doivent être confrontées à celles externes. Les pertes enregistrées auront un montant minimum de 10 000 euros ou 20 000 pour la BFI.

Les pertes externes sont des données de pertes opérationnelles subies par le secteur bancaire et financier, issues des bases de données gérées par des prestataires, ainsi que des données partagées par la profession bancaire dans le cadre de consortiums.

Société Générale s’appuie sur ces bases de donnés dans le cadre de la gestion des risques opérationnels auxquels est exposée pour :

Identifier les zones de risques potentiels

Une revue régulière de pertes externes est réalisée en vue de compléter le recensement des zones de risques potentiels. Elle doit être effectuée notamment dans le cadre de la production des cartographies de risques. Lors de la réalisation des analyses de scénarios, les pertes externes fournissent des informations telles que les causes et les circonstances, et contribuent aux estimations de fréquence et de sévérité. Les pertes les plus significatives font trimestriellement l’objet d’une information adressée au Correspondant risque opérationnel. Cette information permet d’identifier les menaces les plus importantes et à évaluer les pertes extrêmes dans le cadre des stress test réalisés.

Contribuer à apprécier la pertinence du dispositif de réduction des risques opérationnels du Groupe

Cette analyse permet de comparer le profil de risque du Groupe avec celui des banques ayant subi ces pertes.

Contribuer à l’alimentation et à la validation des scénarios de pertes extrêmes

Les données externes constituent une source importante d’alimentation des bases de données pour le calcul du capital risque opérationnel, lorsque le nombre de pertes internes est insuffisant. Elles contribuent alors à contrôler la pertinence des évaluations de sévérité produites par les analyses de scénarios.

La prise en compte des données de pertes externes répond à un objectif réglementaire, le système d’analyse et de mesure du risque opérationnel des banques doit prendre en compte les données de pertes externes pertinentes, notamment dans le domaine où l’établissement encourt un risque de perte sévère.

Le Groupe Société Générale est abonné à trois bases de données de pertes externes :

Algo First (IBM)

Global Data (SAS)

Ces deux bases sont alimentées par des informations publiques.

ORX (Operational Riskdata eXchange Association – base consortiale). SG adhère à cette base en 2009.

Celle-ci est composée de plus de 70 banques réparties dans 20 pays. Cette base permet d’avoir un accès à toutes les pertes opérationnelles anonymes, déclarées par les banques membres du consortium et dont le montant est supérieur à 20 000 euros.

Prévention des risques spécifiques

Comité Nouveaux Produits

L’objectif de ce comité est d’identifier tous types de risques liés au lancement d’un nouveau produit au sein du Groupe. « Nouveau produit » signifie un produit, un métier, une activité ou un service et correspond à  tout produit inédit, nouveau canal de distribution, produit existant modifié de façon substantielle, nouvelle implantation, externalisation de prestations. Le comité doit identifier tous les types de risques : contrepartie, marché, pays, légal, réglementaire, comptable et opérationnel, y compris la fraude et la réputation.

Gestion de crise et continuité d’activité

L’objectif est de réagir face aux intempéries, pannes d’électricité, incendie, crise de liquidité, crise de réputation, crise financière.

La gestion de crise consiste à :

Gérer les crises efficacement

Contrôler les circonstances et les situations inhabituelles

Revenir à une situation normale.

La continuité d’activité consiste à :

Identifier les dangers

Mettre en place des plans d’actions de prévention, de protection

Définir des scénarios de crise

Mettre en œuvre une capacité de réponse aux divers scénarios

Entretenir ces dispositifs et maintenir leur efficacité

La lutte anti-fraude

La fraude représente un risque opérationnel important pour le Groupe Société Générale. Elle engendre des pertes financières, mais également des risques de réputation et réglementaire. Une prévention efficace est un élément essentiel pour la satisfaction client.

Le dispositif mis en place par SG repose sur :

Ce dispositif est complété par une cellule de coordination de la lutte contre la fraude, ayant pour mission le renforcement de la prévention de la fraude et de diffuser des bonnes pratiques.

La cybercriminalité

Elle progresse chaque année. Les attaques proviennent d’organisations criminelles mafieuses, d’Etats ou d’acteurs isolés menant des attaques simples.

Les clients du Groupe sont victimes de :

Phishing : fraude monétique ou des virements frauduleux

Attaques d’ingénierie sociale : fraudes financières de plusieurs millions d’euros

Attaques massives de déni de service (DDOS)

Advanced Persistent Threat : introduire des codes malveillants

Les prestations de service essentielles externalisées présentent différents risques :

Risque stratégique : perte de compétences en interne, dépendance vis-à-vis d’un tiers

Risque opérationnel : insuffisance du contrôle interne et des obligations réglementaires

Risque juridique : augmentation du nombre de litige à cause de l’intervention d’un nouvel acteur.

La sécurité est une priorité du Groupe. Il est nécessaire de mettre en place tous les moyens pour anticiper, analyser et prévenir les risques de toute nature.

La classification des documents a pour objectif de qualifier le niveau du risque. Toutes les informations doivent être classifiées selon 4 niveaux :

C0 : Public

C1 : Interne

C2 : Confidentiel

C3 : Secret

Contrôle interne

Contrôle permanent de niveau 1

Il est représenté par un ensemble de dispositions mises en place pour garantir la validité, la régularité et la sécurité des opérations réalisées. Il repose sur :

Les contrôles opérationnels réalisés par chaque collaborateur

La supervision managériale, qui a pour but de vérifier le respect des règles et des procédures et la réalisation des contrôles opérationnels par les collaborateurs.

La bibliothèque des contrôles normatifs (BCN) regroupe l’ensemble des objectifs qui fixent une filière ou un métier, afin de maîtriser les principaux risques concernés (pour plus de détails à se reporter à l’annexe 3)

Tableau 1. Extraction d’une partie des risques compris dans BCN (FSO)

Source : Documentation interne

Contrôle permanent de niveau 2

Il a été mis en place en 2014, à la demande du régulateur, afin d’établir un contrôle de niveau 2 indépendant des opérationnels. Cela permet d’avoir une vision globale des processus, des risques encourus et des dispositifs de contrôle associés.

Trois filières ont pour mission ce type de contrôle :

La Filière Risques

La Filière Finance

La Filière Conformité

Le contrôle se réalise via la revue des documents compris dans le système de reporting ou, en cas de problèmes importants, des contrôles sur place.

Identification et évaluation

Afin de renseigner le Groupe sur l’exposition aux événements de risques, ces zones de risques, des exercices de RCSA et des analyses de scenarii sont mis en places.

RCSA : l’auto-évaluation des risques et des contrôles a pour objectifs :

Identifier et évaluer l’exposition du Groupe aux risques opérationnels

évaluer la qualité des dispositifs de prévention et de contrôle, permettant de réduire les risques

remédier aux manquements du dispositif de prévention et de contrôle et de mettre en place des mesures correctrices

faciliter la mise en place des KRI

L’analyse des scénarios consiste à identifier:

Les pertes potentielles

La sévérité de ces pertes

La probabilité d’occurrence

Les plans d’actions à mettre en place

3.2.2 Outils

Les 6 outils utilisés par Société Générale pour la gestion du risque opérationnel sont :

Caroline : outil de collecte de pertes du Groupe

MOKA : suivi des actions et plans d’actions majeurs issus du Contrôle Permanent

GPS : Application Groupe de gestion de la Supervision managériale

Impact : outils de suivi des Comités Nouveau Produits

Mostra : outil de décision et de suivi des prestations de services essentielles externalisées

Oreline : outil de collecte de l’exercice de RRCSA

3.3.3 Réglementation

Comité de Bâle propose des textes qui doivent encadrer les pratiques, qui sont susceptibles de générer du risque opérationnel (Arrêté du 20 février 2007).

ACPR veille à l’élaboration et mise en place de mesures visant la stabilité financière (Arrêté du 03 novembre 2014).

Gestion de crise et continuité d’activité (Directive 13686, Instruction 13835, Instruction 13796).

En conclusion, Société Générale accorde une attention particulière à la gestion du risque opérationnel. Un dispositif sophistiqué a été déployé afin d’assurer un contrôle efficace, des bonnes pratiques et des meilleurs résultats. L’objectif est de répondre aux contraintes réglementaires, tout en maîtrisant le niveau de risques et en se focalisant sur l’amélioration continue.

Chapitre 4. Analyse du dispositif de maîtrise de risque opérationnel

4. 1 Présentation SGSS

4.1.1 Historique

2004 – Création de Société Générale Securities Services à l’issue d’un rapprochement de différents départements titres de Société Générale et de sa filiale d’administration de fonds.

2007 – mise en place d’une offre dédiée à la gestion et à la valorisation de produits OTC et structurés.

2009 – Création de SBI SG Custodian Services en partenariat avec State Bank of India, premier prestataire de titres en Inde. De même, a lieu l’ouverture d’un bureau spécialisé dans la gestion des actifs, à Hong Kong.

2012 – Lancement de l’offre Solvabilité II qui est destiné aux assureurs et gestionnaires d’actifs.

2013 – Présentation d’un nouveau Pôle stratégique GBIS, dont SGSS fait partie.

2014 – lancement d’une plateforme qui permet à ses clients de gérer de manière efficace les opérations, une solution destinée aux gérants d’investissements de taille intermédiaire d’UK et une solution globale d’externalisation de services post-marché.

Ces différents investissements témoignent du soutien du Groupe et de la volonté de SGSS de se développer autant en France qu’à l’international.

4. 1. 2 Chiffres clés

2e conservateur européen

Parmi les 10 premiers mondiaux

4000 collaborateurs

28 implantations

4019 Mds € actifs conservés

574 Mds € actifs administrés

Source : intranet SG, mars 2016

4. 1. 3 Valeurs 

4. 1. 4 Organigramme

4. 1. 5 Activité et Missions

SGSS offre une palette complète de services destinés aux investisseurs : administrations de fonds, banque dépositaire, conservation, compensation, gestion de liquidité.

L’ambition de SGSS est de consolider sa position en Europe, en étant capable de fournir une offre de services reconnue par sa qualité, sa compétitivité et sa flexibilité.

Les principes clés sont :

Donner la priorité au client

Etre un pilier important dans la chaine post-trade

Renforcer la position géographique

Développer l’offre de services

Renforcer l’efficacité, tout en maîtrisant le risque opérationnel

4.2 Politique et méthodologie de mesure et maitrise de risque opérationnel

4. 2. 1 Culture risque

"La Culture Risques est au cœur de la stratégie de notre Groupe. Chacun d'entre vous est responsable et dépositaire de cette Culture Risques, quels que soient vos métiers, quelles que soient vos activités, et quelles que soient vos fonctions."

Frédéric Oudéa – Président – Directeur Général (06/2012)

Dans le contexte économique actuel, la maîtrise de tous les risques apparaît plus que jamais comme une attente forte de la part des clients, des établissements bancaires, des régulateurs, agences de notation et plus généralement de l'opinion publique.

Les piliers de la culture risques sont :

Connaître les risques que son activité engendre et savoir comment les maîtriser

Etre responsable

Adopter un comportement adapté : courage – rigueur – discipline

Des études orientées vers une approche quantitative du risque opérationnel font émerger une nouvelle approche, l’approche qualitative. L’approche quantitative est insuffisante pour gérer le risque, étant donné son caractère imprévisible et ambigu, avec des pertes difficilement évaluables. Le rôle des ressources humaines dans le risque lui-même et dans le processus d’identification, rend intéressante l’approche qualitative. C’est pourquoi, les régulateurs demandent non seulement une évaluation quantitative de pertes estimées, mais aussi une démarche qui cherche à intégrer l’environnement opérationnel et le contrôle interne.

A l’issue d’une enquête effectuée au sein de MOS SGSS, on constate que les acteurs concernés ont une vision très précise des paramètres du risque. La volonté des personnes d’admettre l’importance d’une telle défaillance, d’échanger et de chercher des solutions est un point crucial dans la gestion quotidienne du risque opérationnel. Ainsi, les opérationnels se préoccupent du développement d’un outil qui va permettre l’amélioration d’un tel processus.

4. 2. 2 Exercice RCSA

L’enjeu du RCSA est d’obtenir une vision exhaustive des risques, en évaluant les événements susceptible de représenter un danger et la qualité du dispositif de prévention et de contrôle.

L’objectif consiste à identifier et évaluer les risques intrinsèques, les risques résiduels et les plans d’actions appropriés.

Planning et acteurs. Au sein de SGSS, l’exercice de RCSA se déroule dans 5 étapes :

Lancement : janvier – février. Détermination du périmètre.

Préparations : février – mars. Les managers préparent les entretiens.

L’évaluation : mars – août. Identifications des risques majeurs.

Consolidations : août – octobre. La direction Risque va collecter les rapports de tous les pays et va consolider les données.

Restitution : novembre. Présentation du bilan à la Direction Générale.

Les risques les plus élevés seront présentés sous forme de tableaux. Il y a 4 niveaux de risque : très élevé, élevé, modéré, faible.

Concernant la qualité des dispositifs, pour chaque catégorie de risque une moyenne est faite. Il existe 4 niveaux de qualité : bon, satisfait, modéré, insatisfait.

Ensuite des plans d’actions sont proposés pour les risques les plus dangereux. Si le risque est évalué au niveau 2 ou plus, des mesures correctrices seront mis en place.

Conformément aux résultats de RCSA 2015 de la Direction des Risques de SGSS, les risques résiduels les plus importants et les plus souvent présents au MOS sont les défaillances des systèmes d’information, les erreurs de pricing et les erreurs d’exécution (voir figure suivante).

Figure 6 : Résultat d’exercice de RCSA, 2015

Source : Documents internes, Département du risque

La figure nr.6 représente une matrice qui va permettre de classifier les risques en fonction de fréquence et impact financier afin d’identifier et évaluer les zones les plus dangereuses et les coûts de ses éventuelles pertes.

Figure 7 : Matrice impact-fréquence RCSA

Source : Documents internes, Département du risque

4. 2. 3 Indicateurs Clés de Risques (KRI)

Les pertes internes sont remontées à la Direction Risque. Elles ne doivent pas dépasser 0.8 du PNB, sinon des alertes sont créées. Les données restent confidentielles.

4. 2. 4 Global Permanent Supervision (GPS)

Chaque mois, les managers de tous les services préparent un fichier avec le nombre d’incidents survenus par chaque collaborateur. Les opérateurs réalisent des contrôles et remplissent un tableau avec le nombre d’incidents détectés.

L’opérationnel :

Vérifie le nombre de contrôle défini par l’échantillon (ici 52 contrôles à vérifier)

Vérifie que tous les contrôles ont bien été réalisés

Remonte les incidents

Vérifie qu’une évidence est jointe au contrôle attestant que les contrôles sont bien réalisés (l’audit peut demander ces documents)

Une campagne de spotcheck (=revue des contrôle) a lieu chaque année. Il s’agit pour le risk-manager d’aller voir l’opérationnel et faire son contrôle sur GPS avec lui, en vérifiant tous les points de contrôle (échantillon, remontée d’incident, méthode de notation, pièce jointe…). Le risk-manager va également demander à l’opérationnel si les contrôles sont adaptés. Sinon, il reverra avec lui les points qui ne vont pas et proposera par exemple : de nouveaux moyens de contrôle si besoin, d’améliorer la procédure de contrôle afin qu’elle soit plus compréhensible, de modifier la méthodologie de notation. Si le nombre d’incidents est inferieur à 50, l’outil va afficher un résultat de 100% ce qui correspond à un niveau satisfaisant.

4. 3 Etude de cas : Cartographie MOS

La cartographie des risques présente une image des risques potentiels. L’objectif est de mobiliser les connaissances en la matière au niveau de tous les acteurs concernés. Un premier enjeu est d’aboutir à une codification qui offre une perception du risque. Les 3 facteurs pris en compte dans la démarche de codification sont : la technique d’impression, la modélisation des connaissances individuelles et le développement du langage. Un deuxième enjeu est de réussir le processus d’apprentissage dans une perspective dynamique. Il n’y a pas que les résultats obtenus qui comptent, le processus lui-même de transfert des connaissances est important. La spirale des savoirs (Nonaka , 1994 ; Nonaka et Takeuchi, 1995) illustre la construction des connaissances par le passage du tacite à l’explicite et de l’individuel au collectif sous l’impulsion des interactions. La cartographie des risques, apparait ainsi, comme un pilier de la connaissance informationnelle.

Une illustration du risque opérationnel via une cartographie est présentée ci-dessous. D’abord je présente les risques spécifiques pour chaque service. Par la suite, je construis la cartographie qui couvre les zones les plus sensibles, avec des niveaux d’impact et de fréquence estimés par les opérationnels.

Concernant la notation de l’impact du risque j’ai attribué une note de 1 à 5 :

5 -Très élevé

4 – Elevé

3 – Moyen

2- Faible

1 – Très faible

Quant à la probabilité d’occurrence, les notes sont de 1 à 5 :

5 -Certaine

4 – Probable

3 – Peu probable

2 – Faible

1 – Très faible

Tableau 2: Risque opérationnel au sein de Pricing

Source : auteur, Guide des classifications des évènements

*Note : l’identification et l’évaluation des risques opérationnels nommés ne font l’objet d’aucune étude, c’est l’interprétation de l’auteur. Les catégories et les sous-catégories ont été extraites du « Guide de classification des événements, juin 2014 ». la classification des risques opérationnels de SG est disponible en annexe 2.

Tableau 3: Risque opérationnel au sein de Middle Office

Source : auteur, Guide des classifications des évènements

Les systèmes d’information représentent un élément fondamental dans le cadre d’une gestion efficace des produits OTC. Une défaillance à ce niveau aurait des impacts sur tous les services, de ce fait le personnel reste toujours vigilant. Des contrôles sont effectués régulièrement, afin de diminuer la probabilité d’apparition d’un événement à risques, avec des pertes significatives.

Tableau 4: Risques opérationnel au sein de MOA

Source : auteur, Guide des classifications des évènements

L’excellence relationnelle est l’objectif de toute personne activant au sein de SGSS. La satisfaction client avec la prise en charge de requêtes, des indicateurs de performance et de risque démontre l’engagement du personnel.

Le risque opérationnel qui encadre la qualité de la relation client c’est l’insuffisance du service au client couvrant des litiges portant sur le délai de traitement, sur le non-respect des conditions du contrat ou la non-exécution d’une instruction.

Figure 8: La cartographie des risques opérationnels, MOS

Source : auteur

Plan d’actions mis en place :

Suivi des anomalies de saisie manuelle

La manualité de certaines opérations rend la gestion des opérations difficile et longue. En raison de manque de standardisation d’instructions et parce qu’il s’agit des services adaptés à nos clients, nos équipes sont contraintes de traiter une partie des produits manuellement. Cela augmente la probabilité d’apparition de risque opérationnel et de ses conséquences.

Quotidiennement, au sein de l’équipe Gestion de Trade, les écarts sont comptabilisés et classifiés. Le taux d’écart est présenté ainsi, lors des réunions du matin. Les sources d’erreurs sont classifiées par détail économique et par client (voir tableau suivant). Lors de réunion hebdomadaires les statistiques sont communiquées, cela assurant une vision globale sur la qualité du traitement des opérations, mais aussi des probabilités du risque opérationnel.

Tableau 5 : Statistiques écart, semaine 23

Source : Données internes : Gestion de Trade, Affirmation

Ce tableau est réalisé par l’équipe d’affirmation, qui a comme principal mission de vérifier les transactions saisies et de remonter les écarts. L’équipe confirmation, vérifie les détails économiques des transactions saisies dans le système interne avec ceux des contreparties. Les écarts sont remontés au niveau d’affirmation/booking, ou à la contrepartie, en fonction des situations. Un tableau identique à celui-là est construit, sauf que le nombre de différences avec l’affirmation est non-significatif, la plupart venant des contreparties.

Systèmes internes

Le paramétrage non-approprié des logiciels représente un frein dans l’amélioration de gestion de risque opérationnel. Afin de pallier à ces défaillances, un fichier avec la description détaillé de chaque anomalie concernant le logiciel va être réalisé. Une procédure manuelle (solution de contournement) va être mise en place afin de faire face à ces lacunes et de rendre le process correct. Chaque anomalie va être notée en fonction de sa fréquence d’apparence et son impact. Ensuite une classification de tous ces bogues sera faite et adressé au service MOA, qui va prendre en charge ces requetés par priorité (voir annexe 4).

En conclusion, des contrôles systématiques sont mis en place afin de veiller à la bonne exécution des transactions, mais la manualité de certaines opérations et le développement insuffisant des systèmes informatiques rendent parfois la tâche difficile, en générant un événement de risque.

4.4 Recommandations

Vigilance des collaborateurs. Le point le plus sensible reste le manque d'attention généré par la fatigue, insuffisance des compétences ou bien les bogues des systèmes informatiques. Une vigilance accrue est requise à chaque étape du processus de traitement des produits OTC, qui sont des produits assez sophistiqués.

Supervision managériale

Les team-leaders en commun accord avec les managers vont assurer un suivi des évènements de risques. Ils vont collecter tous les types de danger et vont suivre leurs évolutions. Lors d’enregistrement, chaque anomalie comportera une note, ce que va permettre d’observer l’amélioration ou la dégradation du risque. Dans le cas d’une dégradation, l’anomalie sera prioritaire et des actions mis en place.

Organisation des comités avec des représentants des clients

Des comités doivent être organisés mensuellement avec des représentants de SGSS et des clients, afin de permettre aux managers de remonter les difficultés rencontrés à la lecture des tickets et de mettre en place des actions correctives. Ainsi, les investisseurs auront une vision globale du fonctionnement du procès post-trade et participeront à l’amélioration et à la réduction du risque opérationnel.

La formation d’un groupe interne de travail pour initier des projets représentera un point fort pour la gestion de risque opérationnel. Chaque opérationnel va noter les incidents rencontrés et il va remonter auprès de team leader. Ces derniers vont se réunir périodiquement pour échanger autour de derniers problèmes et anomalies rencontrés et pour proposer des solutions.

Formation « amélioration continue » consiste à mettre en place des formations régulières pour faire une mise à jour des procédures, afin de mieux traiter les opérations.

Une formation aura lieu trimestriellement pour une mise à jour des connaissances concernant les métiers, les produits, les procès. Cela facilitera la gestion des opérations et le respect de certaines procédures qui ont tendance à être ignorer.

Développement de la polyvalence ayant pour objectif de diminuer la charge de travail pour certains collaborateurs qui est souvent une importante source de risque opérationnel.

Ce chapitre souligne l’importance d’un dispositif efficace de gestion et de maîtrise de risque opérationnel. Ce type de danger est présent au quotidien dans toutes les activités, car il a des lacunes dans les systèmes informatiques, différences dans les instructions des clients, ou parfois beaucoup de manualité. C’est pourquoi des plans d’actions sont mis en place, des mesures qui visent la performance, la diminution des erreurs et des coûts financières.

Continuation du développement de la culture du risque

En conclusion, le risque opérationnel est une menace quotidienne dans les salles de marchés, notamment sur le segment de produits dérivés. Le volume important et la spécificité des produits rendent le procès plus difficile et plus compliqués. Afin d’assurer une gestion efficace de ce danger, un ensemble de conditions doivent être réunis, particulièrement des collaborateurs compétents et motivés, des systèmes internes performants, et notamment, une sensibilisation à l’égard de ce risque.

Conclusion

Les produits dérivés ont une importance stratégique pour le système financier en raison de leur rôle de transféreur de risque entre les agents. Mais cela ne peut pas être réalisé sans générer un autre risque. Dans le cadre de cet ouvrage, notre attention porte sur la gestion de risque opérationnel. Le risque opérationnel est un point faible sur ces marchés car les produits sur mesures sont souvent une source de danger.

Dans un contexte financier mondial qui évolue constamment, le risque opérationnel s’impose comme une partie composante de ce procès. Des dispositifs sont mis en place afin de diminuer les conséquences ou de l’écarter définitivement. Quand il s’agit du risque opérationnel, la tâche devient plus compliqué, on ne peut pas quantifier ce risque. Tout au long de cet ouvrage, on a vu qu’une palette des outils de maîtrise de risque opérationnel sont utilisés par Société Générale. Il s’agit des indicateurs clés de risques, des analyses des pertes internes ou externes, des analyses de scénarios ou d’exercice d’auto-évaluation des risques et des dispositifs de contrôles. De même, des comités, des textes règlementaires, des systèmes internes appropriés viennent de compléter le dispositif.

Un outil efficace dans la gestion du risque opérationnel est la cartographie des risques. Elle permet d’avoir une vision globale sur toutes les catégories de risque opérationnel pesant sur l’entreprise. Dans l’étude de cas concernant MOS de SGSS, la cartographie assure l’identification et l’évaluation des risques majeurs, en assurant le pilotage et la maîtrise. En fonction des évènements de risques déterminés, des plans d’actions sont mis en place pour palier à ces manquement et à renforcer la solidité du procès. Une forte culture risque est promue au sein de toutes les équipes, car à ce niveau, le risque est fréquent et avec des importants impacts.

Au terme de cet étude, on a pu retenir que SG détient un système efficace dans la gestion de risques opérationnels, pour lui permettre de contrôler le niveau d’exposition, d’assurer un suivi et répondre avec des actions appropriées. En résultat, des efforts sont faits et des améliorations envisagés.

Bibliographie

BON-MICHEL B. (2011) « La cartographie des risques : de la rationalisation du futur à l’apprentissage du risque. Cas de l’identification du risque opérationnel au sein d’un établissement de crédit», Management & Avenir, n°11

LAMARQUE E. & MAURER F. (2009), « Le risque opérationnel bancaire. Dispositif d’évaluation et système de pilotage » Revue française de gestion

ROUSSO D. (2010), « Produits dérivés OTC : défis pour la stabilité financière et réponses des autorités », Revue de la stabilité financière, n° 14

STOBAND O. & DE CASTELBAJAC L. (2011), « De la gestion des risques opérationnels à l’amélioration de la performance »

http:// Bis.org, Comité de Bâle sur le contrôle bancaire : Saines pratiques pour la gestion et la surveillance du risque opérationnel

http://www.fbf.fr/fr/contexte-reglementaire-international/systeme-financier-international/reformes/le-traitement-du-risque-operationnel-selon-le-comite-de-bale

Documentation interne SG

Documents internes SGSS

Instruction n. I_Group_014102

ANNEXES