Auteur : RSBP
Date de publication: 29-07-2022
Accès : Public

En mars 2021, le Comité de Bâle sur le contrôle bancaire a publié des principes de la résilience opérationnelle, qui visent à rendre les banques plus aptes à résister, à s'adapter et à se redresser en cas d'événements adverses graves. Outre ces principes de résilience opérationnelle, le Comité publie également des révisions de ses principes de bonne gestion du risque opérationnel qui reflètent la relation entre la résilience opérationnelle et le risque opérationnel. Ce document présente les principes de gestion du risque opérationnel ainsi ceux de la résilience opérationnelle proposés par le Comité de Bâle sur le contrôle bancaire.

D’une manière générale, la gestion des risques englobe le processus d'identification des risques auxquels la banque est exposée, la mesure des expositions à ces risques, la mise en place d'un programme efficace de planification et de surveillance des fonds propres, la surveillance permanente des expositions aux risques et des besoins en fonds propres correspondants, la prise de mesures pour contrôler ou atténuer les expositions aux risques et la communication à la direction générale et au conseil d'administration des expositions aux risques et des positions en fonds propres de la banque.

Le Comité de Bâle sur le contrôle bancaire a récemment entamé des travaux relatifs au risque opérationnel. La gestion de ce risque devient un élément important d'une bonne pratique de gestion des risques par les banques.

Le risque opérationnel est inhérent à tous les produits, services et activités bancaires, et la gestion efficace de ce risque (opérationnel) a toujours été à la base du programme de gestion des risques d'une banque. Les types les plus importants de risque opérationnel concernent les défaillances des contrôles internes et de la gouvernance d'entreprise. Ces défaillances peuvent entraîner des pertes financières dues à des erreurs, à des fraudes ou à l'incapacité d'exécuter les tâches en temps voulu, ou compromettre les intérêts de la banque d'une autre manière. D'autres aspects du risque opérationnel comprennent les défaillances majeures des systèmes de technologie de l'information ou des événements tels que des incendies majeurs ou d'autres catastrophes.

Le Comité de Bâle sur le contrôle bancaire a introduit ses principes de bonne gestion du risque opérationnel en 2003, avant de les réviser en 2011 pour y intégrer les leçons tirées de la crise financière mondiale de 2007-2009. En 2014, le Comité a procédé à un examen de la mise en œuvre des principes et a proposé des révisions des approches standardisées pour le calcul du capital pour le risque opérationnel. En décembre 2017, les réformes de Bâle III finalisées ont complété les améliorations du dispositif réglementaire mondial. Les révisions ont visé à restaurer la crédibilité du calcul des actifs pondérés en fonction des risques (RWA) et à améliorer la comparabilité des ratios de fonds propres des banques en renforçant la solidité et la sensibilité au risque et en restreignant l’utilisation des approches fondées sur les modèles internes pour le risque de crédit et le risque opérationnel. Le Comité a donc rationalisé le cadre du risque opérationnel en proposant une seule approche standard de sensibilité au risque, applicable à toutes les banques.

En mars 2021, le Comité de Bâle sur le contrôle bancaire a publié des principes de la résilience opérationnelle, qui visent à rendre les banques plus aptes à résister, à s'adapter et à se redresser en cas d'événements adverses graves. Outre ces principes de résilience opérationnelle, le Comité publie également des révisions de ses principes de bonne gestion du risque opérationnel qui reflètent la relation entre la résilience opérationnelle et le risque opérationnel.

Ce document présente les principes de gestion du risque opérationnel ainsi ceux de la résilience opérationnelle proposés par le Comité de Bâle sur le contrôle bancaire.Les définitions du risque opérationnel.

1. Les Définitions du risque opérationnel 

Le risque opérationnel est inhérent à tous les produits, activités, processus et systèmes bancaires. Il est défini dans le cadre du capital comme étant le risque de perte résultant de processus internes (personnes et systèmes inadéquats ou défaillants) ou d'événements externes. Cette définition inclut le risque juridique, mais exclut le risque stratégique et le risque de réputation. La gestion efficace du risque opérationnel est un élément fondamental du programme de gestion des risques d'une banque. Une gestion saine du risque opérationnel reflète l'efficacité du conseil d'administration, et de la direction générale.

La définition du risque opérationnel a été souvent critiquée vu la difficulté de mesurer certaines pertes. La définition proposée par le Comité de Bâle inclut l'erreur humaine, la fraude et la malveillance, les défaillances des systèmes d'information, les problèmes liés à la gestion du personnel, les litiges commerciaux, les accidents, les incendies ainsi que les inondations... Autant dire que son champ d'application semble si large qu'on n'en perçoit pas immédiatement l'application pratique. La notion de risque opérationnel apparaît à première vue peu innovante, puisque les banques n'ont pas attendu le Comité de Bâle pour organiser leurs activités sous forme de procédures, et développer des services d'audit interne pour vérifier la bonne application de ces procédures.  Cependant, des faillites spectaculaires ont attiré l'attention des régulateurs sur la nécessité de doter les banques de mécanismes de prévention et de couverture contre les risques opérationnels (par l'allocation de fonds propres dédiés).

La mise en œuvre préconisée par un nombre croissant d'études sur ce sujet est de considérer comme un risque opérationnel réel : tout événement qui perturbe le déroulement normal des processus d'affaires et qui génère une perte financière ou une atteinte à l'image de la banque (bien que ce dernier résultat ait été explicitement exclu de la définition du Comité de Bâle, il reste toujours une préoccupation majeure).

Une gestion proactive du risque opérationnel, en plus de permettre le respect des exigences du Comité de Bâle, conduit nécessairement à une amélioration des conditions de production : rationalisation des processus qui se traduit par une productivité accrue, amélioration de la qualité conduisant à une meilleure image de marque... En particulier, une telle approche permet de développer des outils quantitatifs qui définissent des objectifs mesurables pour les équipes opérationnelles en termes de réduction du risque opérationnel. L'environnement général favorise une plus grande prise en compte du risque opérationnel qui devient, au même titre que la gestion du risque de crédit et du risque de marché, une composante intrinsèque des activités bancaires.

Le développement d'une méthode de suivi du risque opérationnel se heurte cependant à de nombreux freins internes, qu'ils soient psychologiques ou organisationnels. La direction elle-même peut avoir tendance à minimiser l'impact du risque opérationnel, car il s'accompagne toujours d'un côté "erreur humaine" qui engagent la responsabilité des cadres supérieurs et les aspects qu'ils préfèrent ignorer. Cependant le sujet s'impose et le corpus méthodologique s'étoffe et se structure progressivement.

Mise en place du suivi du risque opérationnel

La première étape du processus de suivi du risque opérationnel consiste à établir une cartographie des risques. Cette cartographie s'appuie sur une analyse des "business processus", qui se croisent avec la typologie du risque opérationnel.

Un business processus métier est un ensemble de tâches coordonnées, qui visent à fournir un produit ou un service aux clients. La définition des business processus correspond essentiellement à une analyse ''business-oriented'' de l'activité de la banque, et non à une analyse organisationnelle. La détermination des business processus commence donc par l'identification des différents produits et services, puis des acteurs (qui peuvent appartenir à différentes entités au sein de l'organisation) et des tâches impliquées dans la fourniture de ces produits.

Ensuite, à chaque étape du processus, il faut attribuer les incidents susceptibles de perturber son déroulement et d'empêcher l'atteinte de ses objectifs (en termes de résultats concrets, ou en termes de temps). Pour chaque événement, le risque est évalué en termes de : probabilité d'occurrence, perte résultante en cas de réalisation.

Chaque événement à risque potentiel doit être affecté à une catégorie de risque (ce qui facilite et accélère l'analyse des données futures) et, en termes d'organisation, à l’unité/département (« business line » en anglais) où l'incident surviendrait. Le Comité de Bâle a défini des listes types pour ces sujets.

La classification des risques doit correspondre à la vue d'ensemble souhaitée par le management, doit permettre des analyses synthétiques transversales à l'ensemble des activités et à ce titre doit être établie par une direction centrale des risques. En revanche, pour être réaliste et utile, l'analyse des business processus et des risques encourus doit être confiée aux opérationnels concernés. Ils utiliseront un cadre rigoureux, identique pour tous, mais qui leur permet de décrire leurs activités.

 

Enfin, la cartographie ne serait pas complète si elle ne s'accompagne pas de l'identification d'indicateurs clés de risque : ce sont des éléments quantifiables susceptibles d'augmenter la probabilité de survenance d'un risque : nombre d'opérations traitées, taux d'absentéisme, etc. Cette notion est connue comme étant la "méthode du tableau de bord".

L'identification initiale des risques débouche sur une cartographie "théorique" des activités, cependant l'expérience ne permet que d'une part, de valider cette description et d'autre part, d'identifier les domaines d'activité sensibles afin de mettre en place des contrôles adaptés. Il est alors temps de collecter les incidents observés dans une base de données historique, qui permet d'évaluer les pertes réelles causées par les risques opérationnels (données de perte).

La collecte des données se fait généralement en mode déclaratif. Les opérationnels remplissent des formulaires standardisés, qui sont ensuite saisis dans une base de données, ou saisissent directement les données dans l'application. Pour des incidents tels que des pannes d'ordinateurs, il est possible d'envisager une collecte de données automatique ou semi-automatique (un "rapport de panne" créé automatiquement est ensuite complété manuellement avec les montants des pertes encourues). De telles bases de données, alimentées pendant plusieurs années consécutives, se transforment en une source précieuse d'informations pour la gestion du risque opérationnel. Ces données permettent de dégager une vision objective et quantifiée des risques encourus, à condition qu’elles aient été collectées de manière fiable et réaliste.

La collecte de données sur les sinistres s'appuie sur la carte précédemment établie pour enregistrer et référencer les incidents ce qui permet également, par un effet rétroactif, de régler la carte. Il existe également des bases de données similaires, mais provenant de sources externes. Ces données complètent les données collectées en interne puisque les bases de données historiques n'enregistrent par définition que les incidents déjà survenus dans la banque. Afin d'obtenir une mesure plus réaliste, un échantillon de données provenant d'autres institutions est ajouté. Ces données nécessitent cependant un effort d'analyse et d'adaptation à la situation spécifique de la banque.

L'analyse statistique des données de perte enregistrées permet de construire un graphique des événements de perte, qui vont d'événements fréquents avec un impact financier limité, à des événements extrêmement rares avec des conséquences catastrophiques. Cette répartition des risques peut ensuite être utilisée pour effectuer toutes sortes de calculs sophistiqués.

 

2. Les mesures du risque opérationnel:

La nécessité de mesurer le risque opérationnel découle des recommandations du Comité de Bâle, qui obligent les banques à allouer un montant de fonds propres suffisant pour couvrir leur risque opérationnel.

Théoriquement, ce montant de fonds propres devrait correspondre à la perte maximale encourue en raison du risque opérationnel dans la banque, avec une probabilité élevée (99%) dans un horizon de temps donné (par exemple, un an). Il s'agit donc essentiellement d'une "Value at Risk" (VaR). La question est de savoir comment calculer cette VaR.

Il existe des méthodes de mesure « indépendantes » qui ne sont pas issues d'une décision du régulateur, ou plus précisément qui ne rentrent dans la catégorie des « méthodes avancées » du Comité de Bâle mais qui souvent utilisées (par ex : méthodes statistiques, approches basées sur des scénarios et approches de tableau de bord).

Le Comité de Bâle a introduit des principes pour une gestion saine du risque opérationnel en 2003. L'une des principales innovations de l'accord de Bâle II par rapport à Bâle I a été non seulement d'exiger l'allocation de capital pour couvrir le risque opérationnel mais aussi de plaider pour un système de gestion du risque opérationnel.

Bâle II a proposé aux banques trois méthodes de calcul des fonds propres. La méthode choisie doit être cohérente au sein d'un groupe bancaire.

  1. La méthode d'indicateur de base consiste à appliquer une pondération de 15% au moyen du Produit Net Bancaire des trois derniers exercices (Capital Requis= Moyenne (3derniers PNB) *0.15).

 

  1. L'approche standardisée permet d'appliquer un coefficient multiplicatif qui dépend du business (Capital Requis= Moyenne (3derniers PNB) *Facteur multiplicatif).

 

  1. Enfin l'approche avancée permet à la banque de construire sa propre méthode d'évaluation et de calcul du risque opérationnel.

La méthode retenue ainsi que les conditions de mise en œuvre (existence d'une structure centralisée de contrôle des risques, fréquence et pertinence du reporting...) doivent être soumises à l'approbation préalable du régulateur. Pour être éligible, cette méthode nécessite que les données suivantes soient disponibles : données de pertes internes (spécifiques à la banque), données sinistres externes (bases de données transversales pour l'ensemble de la profession), analyse des scénarios d'événements potentiels, environnement des affaires et facteurs de contrôle interne.

Le Comité de Bâle s'est particulièrement attaché à définir une classification type des business et des risques opérationnels.

La maîtrise et l'atténuation du risque opérationnel ramènent à la cartographie des risques. Il faut d'abord déterminer un niveau de risque acceptable, puis identifier les actions requises pour ramener le risque "inhérent" (risque existant avant l'application des mesures préventives) à ce niveau. La mise en œuvre des mesures de contrôle et des plans d'action résulte alors d'un compromis entre le coût d'exécution et le niveau de risque obtenu.

 

Le Comité de Bâle en 2011 a révisé les différents principes concernant le risque opérationnel proposés par le Comité de Bâle II pour intégrer les enseignements de la crise financière mondiale de 2007-2009. Le Comité a également reconnu que les principes de 2011 ne tenaient pas suffisamment compte de certaines sources importantes de risque opérationnel, telles que celles découlant des risques liés aux technologies de l'information et de la communication (TIC). Aussi, les risques stratégiques et de réputation n'ont pas été pris en compte par la gestion des risques opérationnels des banques. D'autres révisions ont été apportées pour assurer la cohérence avec le nouveau cadre de risque opérationnel dans la révision des réformes de Bâle III en décembre 2017.

À la suite de la crise financière mondiale de 2007-09, deux lacunes principales ont été constatées au niveau des exigences concernant le risque opérationnel. Premièrement, les exigences de fonds propres en matière de risque opérationnel sont insuffisantes pour surmonter certains chocs dus au risque opérationnel. Deuxièmement, la nature des pertes opérationnelles a montré des difficultés au niveau des modèles internes utilisés pour fixer les exigences en matière des fonds propres. Les nouvelles approches de décembre 2017 portent sur deux éléments de base pour la détermination des exigences de fonds propres :

  • une mesure du revenu de la banque est mise en place
  • une mesure des pertes historiques de la banque est exigée

L'idée de base est que le risque opérationnel augmente rapidement tant que le revenu de la banque augmente. Aussi, les banques qui ont déjà subi des pertes liées au risque opérationnel sont plus susceptible de les subir de nouveau à l'avenir. C'est à partir de ces constatations que les exigences de fonds propres à l'égard du risque opérationnel, en décembre 2017, ont été reformulées, de tel sorte que :

Fonds propres au titre du risque opérationnel = BIC x ILM

Où :

BIC (Business Indicator Component) =

BI (Business Indicator) est la somme de trois composantes : intérêts, crédits-bails et dividendes ; services ; et une composante financière. 

 est une série de coefficients marginaux qui sont multipliés par le BI sur la base de trois tranches (i=1, 2, 3 caractérisant la tranche), L’ILM (Internal Loss Multiplier) est une fonction du BIC et de la composante perte (LC), où le LC est fixé à être égale à 15 fois les pertes historiques moyennes d’une banque sur les 10 dernières années.

En général, les autorités de contrôle peuvent fixer un ILM = 1 pour toutes les banques de leur juridiction. C'est ainsi que les exigences de fonds propres sont fixées seulement par le BIC. Pour rendre les comparaisons entre les banques faciles, toutes les banques doivent présenter leurs pertes historiques liées au risque opérationnel, y compris dans les juridictions où l’ILM est égale à 1. 

En 2014, le Comité a procédé de nouveau à un examen de la mise en œuvre des principes. L'examen de 2014 a révélé que plusieurs principes n'avaient pas été correctement mis en œuvre et que des orientations supplémentaires sont nécessaires pour faciliter leur mise en œuvre dans plusieurs domaines.

Une bonne gouvernance interne constitue le fondement d'un Operational Risk Management Framework (ORMF) efficace et adéquat. D'une façon générale, les contrôles internes sont généralement intégrés dans les activités quotidiennes d'une banque et sont conçus pour : garantir, dans la mesure du possible, que les activités de la banque sont efficientes et efficaces ; que ces informations sont fiables, opportunes et complètes ; et que la banque respecte les lois et réglementations en vigueur.

3. Les lignes de défense :

Les banques s'appuient généralement sur trois lignes de défense : (i) la gestion des unités commerciales ; (ii) une fonction indépendante de gestion du risque opérationnel d'entreprise (Corporate Operational Risk management Function CORF) ; et (iii) une assurance indépendante. Selon la nature, la taille et la complexité de la banque, ainsi que le profil de risque de ses activités, le degré de formalité de la mise en œuvre de ces trois lignes de défense variera.

Le Comité a souligné que, malgré le modèle des trois lignes de défense largement adopté par les banques, la confusion autour des rôles et des responsabilités entrave parfois son efficacité. Ainsi, la révision des Principes est également l'occasion de souligner que ce modèle doit être utilisé de manière adéquate et proportionnelle par les institutions financières pour gérer chaque type de sous-catégorie de risque opérationnel, y compris le risque ICT.

1ère ligne de défense : la gestion des unités commerciales

 

Dans la pratique de l'industrie, la première ligne de défense est la gestion des unités commerciales. Une bonne gouvernance du risque opérationnel reconnaît que la direction de l'unité commerciale est responsable de l'identification et de la gestion des risques inhérents aux produits, activités, processus et systèmes dont elle est responsable. Les banques devraient avoir une politique qui définit clairement les rôles et les responsabilités des unités opérationnelles concernées.

Les responsabilités d'une première ligne de défense efficace dans la promotion d'une culture solide de gestion du risque opérationnel devraient inclure :

 

  • L’identification et l’évaluation de l'importance des risques opérationnels inhérents à leurs unités d'affaires respectives grâce à l'utilisation d'outils de gestion des risques opérationnels ;
  • L’établissement des contrôles appropriés pour atténuer les risques opérationnels inhérents et évaluer la conception et l'efficacité de ces contrôles grâce à l'utilisation d'outils de gestion des risques opérationnels ;
  • La signalisation si les unités opérationnelles manquent de ressources, d'outils et de formation adéquats pour assurer l'identification et l'évaluation du risque opérationnel ;
  • La surveillance et la prise en compte des profils de risque opérationnel des unités opérationnelles ainsi que l'assurance qu'elles respectent la déclaration d'appétit et de tolérance au risque opérationnel établie ;
  • La signalisation des risques opérationnels résiduels non atténués par les contrôles, y compris les événements de perte opérationnelle, les lacunes des contrôles, les insuffisances des processus et le non-respect des tolérances au risque opérationnel.

 

2ème ligne de défense : une fonction indépendante de gestion du risque opérationnel d'entreprise, le CORF.

 

Un CORF fonctionnellement indépendant est généralement la deuxième ligne de défense. Les responsabilités d'une deuxième ligne de défense efficace devraient inclure :

  • Le développement d'une opinion indépendante concernant (i) les risques opérationnels importants identifiés dans les unités opérationnelles, (ii) la conception et l'efficacité des contrôles clés, et (iii) la tolérance au risque ;
  • La contestation de la pertinence et la cohérence de la mise en œuvre par l'unité opérationnelle des outils de gestion du risque opérationnel, des activités de mesure et des systèmes de reporting, et l'apport de preuve de ce défi efficace ;
  • L’élaboration et la mise à jour des politiques, des normes et des lignes directrices en matière de gestion et de mesure du risque opérationnel ;
  • L’examen et la contribution au suivi et au reporting du profil de risque opérationnel ;
  • La dispense d'une formation sur les risques opérationnels et inculquer une sensibilisation aux risques.

 

Le degré d'indépendance de la CORF peut différer d'une banque à l'autre. Dans les petites banques, l'indépendance peut être obtenue grâce à la séparation des tâches et à un examen indépendant des processus et des fonctions. Dans les grandes banques, la CORF devrait avoir une structure hiérarchique indépendante des unités commerciales génératrices de risques et être responsable de la conception, de la maintenance et du développement continu de l'ORMF au sein de la banque. Le CORF engage généralement des groupes de contrôle d'entreprise pertinents (par exemple, Conformité, Juridique, Finance et Informatique) pour soutenir son évaluation des risques opérationnels et des contrôles. Les banques devraient avoir une politique définissant clairement les rôles et les responsabilités de la CORF, reflétant la taille et la complexité de l'organisation.

3ème ligne de défense : une assurance indépendante

La troisième ligne de défense fournit une assurance indépendante au conseil d'administration du caractère approprié de l'ORMF de la banque. Le personnel de cette fonction ne devrait pas être impliqué dans le développement, la mise en œuvre et le fonctionnement des processus de gestion des risques opérationnels par les deux autres lignes de défense. Les examens de la troisième ligne de défense sont généralement effectués par l'audit interne et/ou externe de la banque, mais peuvent également impliquer d'autres tiers indépendants dûment qualifiés. L'étendue et la fréquence des examens doivent être suffisantes pour couvrir toutes les activités et entités juridiques d'une banque.

4. La gouvernance et l'environnement : 

Étant donné que la gestion des risques opérationnels évolue et que l'environnement des affaires change constamment, la haute direction doit s'assurer que les politiques, processus et systèmes de l'ORMF restent suffisamment robustes pour gérer et garantir que les pertes opérationnelles sont traitées de manière adéquate et en temps opportun. Les améliorations de la gestion du risque opérationnel dépendent fortement de la volonté de la Direction Générale d'être proactive et d'agir rapidement et de manière appropriée pour répondre aux préoccupations des gestionnaires du risque opérationnel.

Concernant les Principes de bonne gestion du risque opérationnel, le Conseil d'Administration (CA) doit prendre l'initiative d'établir une culture de gestion des risques solide, mise en œuvre par la Direction Générale. Le Conseil d'Administration et la Direction Générale devraient établir une culture d'entreprise guidée par une solide gestion des risques, établir des normes et des incitations pour un comportement professionnel et responsable, et veiller à ce que le personnel reçoive une formation appropriée en matière de gestion des risques et d'éthique. Les banques doivent élaborer, mettre en œuvre et tenir à jour un cadre de gestion du risque opérationnel pleinement intégré dans les processus globaux de gestion du risque de la banque. Il convient de noter que l'ORMF adopté par une banque individuelle dépendra d'une série de facteurs, notamment la nature, la taille, la complexité et le profil de risque de la banque.

Dans le cadre de la Gouvernance, le Conseil d'Administration devrait approuver et revoir périodiquement le cadre de gestion du risque opérationnel et veiller à ce que la Direction Générale mette en œuvre efficacement les politiques, les processus et les systèmes du cadre de gestion du risque opérationnel à tous les niveaux de décision. Aussi bien, il doit approuver et réviser périodiquement une déclaration d'appétence et de tolérance au risque pour le risque opérationnel qui précise la nature, les types et les niveaux de risque opérationnel que la banque est prête à assumer. Dans le même ordre d'idées, la Direction Générale devrait élaborer, pour approbation par le Conseil d'Administration, une structure de gouvernance claire, efficace et solide avec des lignes de responsabilité bien définies, transparentes et cohérentes. La Direction Générale est responsable aussi de la mise en œuvre et du maintien constant dans l'ensemble de l'organisation des politiques, processus et systèmes de gestion du risque opérationnel dans tous les produits, activités, processus et systèmes importants de la banque, conformément à la déclaration d'appétence et de tolérance au risque de la banque.

En ce qui concerne l'environnement de gestion des risques, le premier point porte sur l'identification et l'évaluation. A ce niveau, La Direction Générale doit assurer l'identification et l'évaluation complètes du risque opérationnel inhérent à tous les produits, activités, processus et systèmes importants afin de s'assurer que les risques inhérents et les incitations sont bien compris. La Direction Générale devrait s'assurer que le processus de gestion du changement de la banque est complet, doté des ressources appropriées et bien articulé entre les lignes de défense pertinentes.

Le deuxième point est celui du monitoring (ou suivi) et reporting. C'est ici que la Direction Générale devrait mettre en œuvre un processus pour surveiller régulièrement les profils de risque opérationnel et les expositions opérationnelles importantes. Des mécanismes de signalement appropriés doivent être en place au niveau du Conseil d'Administration, de la Direction Générale et des unités commerciales pour soutenir la gestion proactive du risque opérationnel.

Au niveau du Contrôle et atténuation, les banques doivent disposer d'un environnement de contrôle solide qui utilise des politiques, des processus et des systèmes ; des contrôles internes appropriés ; et des stratégies appropriées d'atténuation et/ou de transfert des risques.

Le quatrième point est porte sur les Technologies de l'information et de la communication. Les banques doivent mettre en œuvre un programme solide de gestion des risques liés aux TIC conformément à leur cadre de gestion du risque opérationnel.

Le cinquième point est la planification de la continuité des activités : les banques doivent mettre en place des plans de continuité des activités pour garantir leur capacité à fonctionner de manière continue et limiter les pertes en cas de perturbation grave des activités. Les plans de continuité des activités doivent être liés au cadre de gestion du risque opérationnel de la banque.

Le sixième point porte sur l’importance de la divulgation. Par exemple, les déclarations publiques d'une banque doivent permettre aux parties prenantes d'évaluer son approche de gestion du risque opérationnel et son exposition à ce risque. 

5. La résilience opérationnelle : 

Reconnaissant le potentiel accru de perturbations importantes des opérations bancaires en raison de pandémies, de catastrophes naturelles, d'incidents de cybersécurité ou de défaillances technologiques, le Comité de Bâle a également élaboré des principes de résilience opérationnelle.

Dans les années qui ont suivi la crise financière mondiale de 2007-2009, les réformes du cadre prudentiel du Comité de Bâle sur le contrôle bancaire ont renforcé la surveillance du système bancaire mondial et ont entraîné un certain nombre de changements structurels visant à renforcer la résilience financière des banques. Bien que significativement des niveaux plus élevés de fonds propres et de liquidité ont amélioré la capacité des banques à absorber les chocs financiers, le Comité de Bâle estime que des travaux supplémentaires sont nécessaires pour renforcer la capacité des banques à absorber les événements liés au risque opérationnel qui pourraient entraîner des défaillances opérationnelles importantes ou des perturbations à grande échelle sur les marchés financiers.

 

 À la lumière du rôle critique que jouent les banques dans le fonctionnement de l'infrastructure financière mondiale, accroître leur résilience doit apporter des garanties supplémentaires au système financier. Même avant la pandémie de COVID-19, le Comité de Bâle considérait que des perturbations opérationnelles importantes mettraient inévitablement à l'épreuve les améliorations de la résilience du système financier réalisées depuis la crise financière de 2007-09. Au fur et à mesure de la progression de la pandémie de COVID-19, le Comité de Bâle a observé que les banques adaptaient rapidement leur posture opérationnelle en réponse à de nouveaux risques ou à des changements dans les risques existants qui se sont produits dans différentes parties de leur organisation.

 

Reconnaissant qu'une série de dangers potentiels ne peuvent être évités, le Comité estime qu'une approche pragmatique et flexible de la résilience opérationnelle peut améliorer la capacité des banques à résister aux dangers potentiels, à s'y adapter et à s'en remettre, et ainsi atténuer les impacts négatifs potentiellement graves.

 

Le Comité définit la résilience opérationnelle comme la capacité d'une banque à réaliser des opérations critiques en cas de perturbation. Cette capacité permet à une banque d'identifier et de se protéger contre les menaces et les défaillances potentielles, de réagir et de s'adapter, ainsi que de récupérer et d'apprendre des événements perturbateurs afin de minimiser leur impact sur la réalisation des opérations critiques impactées perturbations. Lors de l'examen de sa résilience opérationnelle, une banque doit partir du principe que les perturbations se produiront et doit tenir compte de son appétence globale pour le risque et de sa tolérance aux perturbations.

Le terme opérations critiques est basé sur les principes de haut niveau du Forum conjoint de 2006 pour la continuité des activités. Il englobe les fonctions critiques telles que définies par le Financial Stability Board (FSB)[1] et est élargi pour inclure les activités, les processus, les services et leurs actifs de soutien pertinents dont la perturbation serait importante pour la poursuite des activités de la banque ou son rôle dans le système financier. Le caractère « critique » d'une opération particulière dépend de la nature de la banque et de son rôle dans le système financier. La tolérance des banques aux perturbations doit être appliquée au niveau des opérations critiques.

Les principes de résilience opérationnelle du Comité sont organisés autour des sept catégories suivantes :

  • Gouvernance
  • Gestion des risques opérationnels
  • Planification et test de la continuité des activités 
  • Cartographie des interconnexions et interdépendances des opérations critiques 
  • Gestion des dépendances tierces 
  • Gestion des incidents
  • Technologies de l'information et de la communication (TIC) résilientes, y compris la cybersécurité.

Les principes doivent être appliqués sur une base consolidée aux banques conformément au champ d'application du Cadre de Bâle. Au niveau de la première catégorie "Gouvernance", les banques doivent utiliser leur structure de gouvernance existante pour établir, superviser et mettre en œuvre une approche de résilience opérationnelle efficace qui leur permette de réagir et de s'adapter, ainsi que de se remettre et d’apprendre des événements perturbateurs.

  • Le conseil d'administration devrait examiner et approuver l'approche de résilience opérationnelle de la banque en tenant compte de l'appétit pour le risque de la banque et de sa tolérance aux perturbations de ses opérations critiques.

 

  • La Direction Générale doit mettre en œuvre l’approche de résilience opérationnelle de la banque et s’assurer que les ressources financières, techniques et autres sont correctement allouées afin de soutenir l’approche globale de résilience opérationnelle de la banque et doit fournir des rapports en temps opportun sur la résilience opérationnelle continue des unités d'affaires de la banque à l'appui de la surveillance du conseil.

 

  • Le conseil d'administration doit jouer un rôle actif dans l'établissement d'une large compréhension de l'approche de la banque en matière de résilience opérationnelle, en communiquant clairement ses objectifs à toutes les parties concernées, y compris le personnel de la banque, les tiers et les entités intragroupe.

Concernant la deuxième catégorie "gestion des risques opérationnels", les banques devraient tirer parti de leurs fonctions respectives de gestion du risque opérationnel pour identifier en permanence les menaces externes et internes et les défaillances potentielles des personnes, des processus et des systèmes et pour évaluer rapidement les vulnérabilités des opérations critiques et gérer les risques qui en résultent conformément aux approches de résilience opérationnelle.

La catégorie "planification et test de la continuité des activités" recommande aux banques de mettre en place des plans de continuité des activités et de mener des exercices de continuité des activités dans une série de scénarios graves mais plausibles afin de tester leur capacité à exécuter des opérations critiques en cas de perturbation.

 

  • Un plan de continuité efficace doit être tourné vers le futur lors de l'évaluation de l'impact des perturbations potentielles. Des exercices de continuité des activités doivent être menés et validés pour une gamme de scénarios graves mais plausibles qui intègrent des événements et des incidents perturbateurs.

 

  • Un plan de continuité des activités efficace doit identifier les opérations critiques et les principales dépendances internes et externes pour évaluer les risques et l'impact potentiel de divers scénarios de perturbation sur les opérations critiques. Ces plans devraient intégrer des analyses d'impact sur l’entreprise et des stratégies de reprise ainsi que des programmes de test, de formation et de sensibilisation, et des programmes de communication et de gestion de crise.

 

  • Les plans de continuité doivent développer, mettre en œuvre et maintenir un exercice régulier de continuité des activités englobant les opérations critiques et leurs interconnexions et interdépendances, y compris celles par le biais de relations avec, mais sans s'y limiter, des tiers et des entités intragroupes. Les exercices de continuité des activités devraient soutenir la sensibilisation du personnel à la résilience opérationnelle, y compris la formation du personnel, afin qu'il puisse s'adapter et réagir efficacement aux incidents.

 

  • Les plans de continuité des activités doivent fournir des orientations détaillées pour la mise en œuvre du cadre de reprise après sinistre de la banque. Ces plans doivent établir les rôles et les responsabilités pour la gestion des perturbations opérationnelles et fournir des directives claires concernant la succession de l'autorité en cas de perturbation qui affecte le personnel clé. En outre, ces plans doivent clairement définir le processus de prise de décision interne et définir les déclencheurs qui vont activer le plan de continuité des activités de la banque.

 

  • Les plans de continuité des activités des banques pour la fourniture d'opérations critiques et de services tiers critiques contenus dans leurs plans de redressement et de résolution doivent être cohérents avec leurs approches de résilience opérationnelle.

 

Sur le plan "cartographie des interconnexions et interdépendances des opérations critiques", une fois qu'une banque a identifié ses opérations critiques, elle doit cartographier les interconnexions et interdépendances internes et externes nécessaires à la réalisation des opérations critiques conformément à son approche de la résilience opérationnelle.

 

  • Les fonctions respectives doivent cartographier (c'est-à-dire identifier et documenter) les personnes, la technologie, les processus, les informations, les installations et les interconnexions et interdépendances nécessaires pour exécuter les opérations critiques de la banque, y compris celles qui dépendent, mais sans s'y limiter, de tiers ou des arrangements intragroupe.

 

  • Les banques peuvent tirer parti de leurs plans de redressement et de résolution, le cas échéant, pour définir les opérations critiques et doivent déterminer si leurs approches de résilience opérationnelle sont correctement harmonisées avec les cartographies organisationnelles des opérations critiques et des services tiers critiques contenues dans leurs plans de redressement et de résolution.

 

  • L'approche et le niveau de granularité de la cartographie doivent être suffisants pour permettre aux banques d'identifier les vulnérabilités et de soutenir les tests de leur capacité à exécuter des opérations critiques en cas de perturbation, comme décrit dans le Principe 3, compte tenu de l'appétit pour le risque et de la tolérance de la banque aux perturbations.

 

"La gestion des dépendances tierces" prévoit que les banques doivent gérer leurs dépendances vis-à-vis de certaines relations, y compris celles de tiers ou d'entités intragroupe, mais sans s'y limiter, pour la réalisation d'opérations critiques.

  • Les banques doivent procéder à une évaluation des risques et à une diligence raisonnable avant de conclure des accords.

Les banques doivent élaborer des procédures appropriées de continuité des activités et de planification d'urgence et des stratégies de sortie pour maintenir leur résilience opérationnelle en cas de défaillance ou de perturbation chez un tiers ayant une incidence sur la fourniture d'opérations critiques. Les scénarios dans le cadre des plans de continuité des activités de la banque doivent évaluer la substituabilité des tiers qui fournissent des services aux opérations critiques de la banque, et d'autres alternatives viables qui peuvent faciliter la résilience opérationnelle en cas de panne chez un tiers.

Au niveau de "la gestion des incidents", les banques doivent élaborer et mettre en œuvre des plans d'intervention et de reprise pour gérer les incidents susceptibles de perturber l'exécution d'opérations critiques, conformément à l'appétence pour le risque et à la tolérance aux perturbations de la banque. Les banques doivent améliorer en permanence leurs plans de réponse aux incidents et de rétablissement en intégrant les enseignements tirés des incidents précédents.

  • Les banques doivent tenir un inventaire des réponses aux incidents et des ressources de récupération, internes et tierces pour soutenir les capacités de réponse et de récupération de la banque.

  • La gestion des incidents doit intégrer le cycle de vie d'un incident.

 

  •  Les procédures de réponse aux incidents et de récupération doivent être périodiquement revues, testées et mises à jour. Les banques doivent identifier et traiter les causes profondes des incidents afin de prévenir ou de minimiser la récurrence en série.

Les enseignements tirés d'incidents antérieurs, y compris d'incidents vécus par d'autres, doivent être dûment pris en compte lors de la mise à jour du programme de gestion des incidents. Le programme de gestion des incidents d'une banque doit gérer tous les incidents affectant la banque, y compris ceux attribuables à des dépendances vis-à-vis, mais sans s'y limiter, de tiers et d'entités intragroupe. 

La catégorie "Inclusion des technologies de l'information et de la communication (TIC) résilientes, y compris la cybersécurité" porte sur des programmes de protection, de détection, d'intervention et de récupération qui intègrent une connaissance appropriée de la situation et transmettent des informations pertinentes en temps opportun pour que les processus de gestion des risques et de prise de décision soutiennent et facilitent pleinement la livraison des opérations critiques de la banque.

 

  • Les banques devraient disposer d'une politique documentée en matière de TIC, qui stipule les exigences en matière de gouvernance et de surveillance, la propriété des risques et la responsabilité, les mesures de sécurité des TIC, l'évaluation et le suivi périodique des contrôles de cyber-sécurité, la réponse aux incidents, ainsi que les plans de continuité des activités et de reprise après sinistre.

 

  • Les banques doivent identifier leurs actifs informationnels critiques et l'infrastructure dont ils dépendent. Les banques devraient également hiérarchiser leurs efforts en matière de cyber-sécurité en fonction de leur évaluation des risques liés aux TIC et de l'importance des actifs informationnels critiques pour les opérations critiques de la banque, tout en respectant toutes les exigences légales et réglementaires pertinentes relatives à la protection et à la confidentialité des données. Les banques doivent élaborer des plans et mettre en œuvre des contrôles pour maintenir l'intégrité des informations critiques en cas de cyber-événement, comme le stockage sécurisé et la sauvegarde hors ligne sur des supports immuables des données soutenant les opérations critiques. Les banques devraient évaluer régulièrement le profil de menace de leurs actifs informationnels critiques, tester les vulnérabilités et assurer leur résilience aux risques liés aux TIC.

 

Ces catégories sont basées sur le  Principles for the sound management of operational risk (PSMOR) mis à jour par le Comité de Bâle et sur des directives fondées sur des principes précédemment publiées sur la gouvernance d'entreprise, la continuité des activités, l'externalisation et d'autres cadres de gestion des risques pertinents.

 

Pour sa part, la Commission européenne a publié une proposition législative de règlement sur la résilience opérationnelle numérique dans le secteur des services financiers de l'UE (Digital Operational Resilience in the EU financial services sector "DORA"). DORA vise à garantir que tous les participants au système financier disposent des protections nécessaires pour atténuer les cybers attaques et autres risques. La législation proposée obligera les entreprises à s'assurer qu'elles peuvent résister à tous les types de perturbations et de menaces liées aux TIC. La proposition introduit également un cadre de surveillance pour les fournisseurs tiers critiques, tels que les fournisseurs de services cloud.

DORA couvre un large éventail d'institutions financières, y compris les établissements de crédit, les établissements de paiement, les établissements de monnaie électronique, les entreprises d'investissement, les fournisseurs de services de crypto-actifs, les dépositaires centraux de titres, les gestionnaires de fonds d'investissement alternatifs, les sociétés de gestion d'OPCVM, les administrateurs d'indices de référence critiques, les fournisseurs de services de financement participatif , et fournisseurs de services tiers TIC. De nombreuses entreprises qui n'ont pas été soumises auparavant à des réglementations spécifiques en matière de TIC entrent dans le champ d'application proposé de DORA.

DORA fait actuellement l'objet d'un examen minutieux par le Parlement européen et le Conseil. Le Conseil a adopté une orientation générale sur la proposition de la Commission, qui constituera son mandat de négociation pour les négociations avec le Parlement européen. En s'appuyant sur les orientations existantes et les pratiques actuelles, le Comité de Bâle sur le contrôle bancaire (CBCB) cherche à développer un cadre cohérent et à éviter les doubles emplois.

 

6. Conclusion : 

Bien que les principes de gestion du risque opérationnel et de la résilience opérationnelle visent des objectifs différents, ils sont étroitement liés et se complètent. En effet, un système efficace de gestion du risque opérationnel et un niveau solide de résilience opérationnelle contribuent à réduire la fréquence et l'impact des événements de risque opérationnel ce qui contribue à son tour à la stabilité du système bancaire et donc la stabilité du système financier.

Le programme de résilience opérationnelle doit être aligné sur la stratégie globale de toute l’organisation de sorte qu'il contribue à orienter les décisions d'investissement ainsi que les opérations quotidiennes. Cela nécessite un engagement et une implication systématique et efficace du conseil d'administration, de la Direction Générale et de toutes les parties concernées. L'objectif ultime est donc de gérer la volatilité de l'impact généré par les problèmes associés aux « événements menaçant l'activité ». Cela signifie un programme de gestion des risques complet qui intègre principalement la gestion du risque opérationnel, la gestion de la continuité des activités et la gestion des risques liés aux tiers.

 

[1] Selon le FSB, les fonctions critiques sont définies comme « les activités exercées pour le compte de tiers dont la défaillance entraînerait la perturbation de services vitaux pour le fonctionnement de l'économie réelle et pour la stabilité financière en raison de la taille ou de la part de marché du groupe bancaire, des et interconnexion interne, complexité et activités transfrontalières. Les exemples incluent les paiements, certaines activités de prêt et de dépôt dans le secteur commercial ou de détail, la compensation et le règlement, des segments limités des marchés de gros, la tenue de marché dans certains titres et des secteurs de prêt spécialisés très concentrés.

Références

  • Basel Committee on Banking Supervision (2021), « Revisions to the Principles for the Sound Management of Operational Risk », Mars, d515.
  • Basel Committee on Banking Supervision (2021), « Principles for Operational Resilience », Mars, d516.
  • Basel Committee on Banking Supervision(2017),  « Bâle III : finalisation des réformes de l’après-crise », Décembre, d424.
  • https://eba.europa.eu/
  • https://www.bis.org/
  • https://www.imf.org/external/index.htm
  • Tavares M., R. Camus et N. Demoulin : « DORA : un futur cadre juridique européen de la résilience opérationnelle numérique », Lettre d’actualité réglementaire PwC | Banque # 22 - Novembre 2020