agnaou

1

Institut des Carrières Commerciales rue de la Fontaine 4 1000 Bruxelles

LA GESTION DU RISQUE OPERATIONNEL, LA GESTION DU RISQUE OPERATIONNEL, LA GESTION DU RISQUE OPERATIONNEL, LA GESTION DU RISQUE OPERATIONNEL,

APPLICATION A LA LUTTE CONTRE LA APPLICATION A LA LUTTE CONTRE LA APPLICATION A LA LUTTE CONTRE LA APPLICATION A LA LUTTE CONTRE LA

FRAUDE EN MILIEU BANCAIRE.FRAUDE EN MILIEU BANCAIRE.FRAUDE EN MILIEU BANCAIRE.FRAUDE EN MILIEU BANCAIRE.

Mémoire présenté par Agnaou Akim

pour l'obtention du graduat en comptabilité Année académique 2007-2008

2

Table des matières

TABLE DES MATIÈRES ...............................................................................................2

AVANT-PROPOS..........................................................................................................4

INTRODUCTION ...........................................................................................................5

PARTIE 1 : LA GESTION DES RISQUES EN GENERAL............................................6

1. Le risque...................................................................................................................7

2. Processus de gestion des risques.........................................................................8 Appréciation du risque................................................................................................9 Traitement du risque ................................................................................................13 Illustration.................................................................................................................16 Contrôle et Revue du processus de gestion du risque .............................................17

PARTIE 2 : LA GESTION DES RISQUES OPERATIONNELS...................................19

1. Risques Opérationnels..........................................................................................20

2. Les risques opérationnels et la banque...............................................................20

3. Comité de Bâle.......................................................................................................21

4. Processus de gestion des risques opérationnels...............................................22 Appréciation du risque opérationnel .........................................................................22 Traitement des risques opérationnels ......................................................................35 Contrôle et suivi........................................................................................................36

5. Ratio Mac Donough ...............................................................................................36 Fonds propres réglementaires..................................................................................37 Le risque de crédit....................................................................................................39 Le risque de marché.................................................................................................39 Calcul du ratio final...................................................................................................40 Comptabilisation des risques opérationnels .............................................................41 Les systèmes d'information et le risque opérationnel...............................................41

PARTIE 3 : LA LUTTE CONTRE LA FRAUDE EN MILIEU BANCAIRE....................42

1. Introduction............................................................................................................43

2. Notion de fraude ....................................................................................................43

3. Processus de gestion du risque de Fraude.........................................................46

3

Appréciation du risque de fraude..............................................................................46 Maîtrise du risque de fraude.....................................................................................51 Contrôle et amélioration du processus .....................................................................55

CONCLUSION.............................................................................................................57

RÉFÉRENCES BIBLIOGRAPHIQUES .......................................................................58

ANNEXES ...................................................................................................................59

4

AVANT-PROPOS Régulièrement de nouvelles notions voient le jour dans la sphère professionnelle du comptable comme « Dématérialisation des titres au porteur », « limitations des montants » pour certains mouvements financiers, « phishing », « Comité de Bale », « Slovency », « produits dérivés », « piliers », « captives », etc… et génèrent, à une cadence éffreinée, moult nouveaux règlements et contraintes. Cette jungle de nouvelles règles tente d’encadrer, pour mieux les contrôler, des marchés, des mouvements, des opérations, des produits, des transactions, bref elle tente d’encadrer la FINANCE en majuscules, dont plus personne ne conteste la suprématie sur l’économie, elle-même globalisée de surcroît. Hors c’est précisément le volume impressionnant et grandissant de ces contrôles qui est, à mon sens, interpellant et me fait soulever plusieurs questions. Tant de contrôles sont-ils nécessaires pour huiler et dompter la machine « finance » et en conserver la maîtrise ? Ou alors sont-ils indispensables pour retarder l’échéance du blocage inévitable d’une machine qui s’est emballée, ne pouvant plus être arrêtée et devenue à ce point complexe qu’aucun technicien n’en maîtrise l’ensemble du fonctionnement ? Sans prétendre y répondre de manière catégorique, ne peut-on toutefois déduire de tant de contrôles qu’il y a au moins autant de dangers à craindre ? Ne dit-on pas qu il n’y a pas de fumée sans feu ? D’ailleurs le présent travail n’est-il pas rattrapé par l’actualité comme pour mieux illustrer le choix d’un sujet arrêté un an avant que ne survienne l’affaire dite « de la Société Générale » en France et que l’on qualifie désormais de « plus important scandale financier à ce jour ». Cette réflexion m’a conduit au choix du sujet que je me propose de traiter à travers ce travail et qui s’intéresse à un phénomène qui ne risque pas de s’éteindre en pareil environnement de lucre potentiel, à savoir la fraude. Je tiens ici à avertir le lecteur qu’il n’entre pas dans le champs de ce travail de considérer les aspects théoriques mathématiques de la gestion des risques par le développement des formules rencontrées, tout comme ne seront pas considérés les aspects juridiques liés à la fraude.

5

INTRODUCTION Parmi les risques auxquels sont confrontées les banques, institutions financières par excellence, .la fraude est traitée dans la famille des risques dits « opérationnels », famille de risque co-existant à coté des risques « crédit » et des risques de « marché ». La complexité croissante des produits financiers mis sur le marché, la célérité croissante des moyens de communication, la démocratisation de l’outil informatique rendent les institutions financières de plus en plus vulnérables face à des risques qu’elles se permettaient d’ignorer dans le passé. Car si le secteur industriel est depuis longtemps coutumier des problèmes opérationnels et risques y liés, tels que la défaillance d’un outil ou d’un fournisseur, le secteur bancaire ne s’y intéresse que depuis le début des années 2000. En effet, les scandales de faillites et autres fraudes aidant, les banques se sont imposées des règles de fonctionnement strictes connues sous les « Accords de Bâle » qui, après avoir traité des risques de crédit et de marché, ont intégré les risques opérationnels. Le présent travail se propose de présenter la méthodologie d’installation d’un dispositif de lutte contre la fraude dans le secteur bancaire en abordant, dans la première partie, l’approche générale de la gestion des risques. La seconde partie est consacrée plus spécifiquement à la gestion des risques opérationnels et plus particulièrement en milieu bancaire. Enfin la troisième et dernière partie met en application le processus de gestion des risques opérationnels au cas précis de la lutte contre la fraude. L’objectif est d’exposer une méthode en décrivant les étapes et outils nécessaires à sa mise en place et en les illustrant d’exemples, sans toutefois prétendre couvrir toutes les fraudes et livrer une application prête à l’emploi.

6

Partie 1 : LA GESTION DES RISQUES EN GENERAL

7

1. Le risque

a. Définition Le guide ISO/IEC 73 (1) sur la terminologie du management du risque définit le risque comme “la combinaison de la probabilité d’un événement et de ses conséquences”. Le risque est une notion statistique du fait de son caractère incertain. On s'accorde de plus en plus à reconnaître que la gestion du risque s’intéresse à celui-ci sous les deux aspects de l'aléa positif et de l'aléa négatif comme le précise la FERMA (Federation of European Risk Management Associations) : le simple fait d'entreprendre ouvre la possibilité d’événements dont les conséquences sont potentiellement bénéfiques (aléa positif) ou préjudiciables (aléa négatif). C’est ainsi que, d’un point de vue économique, on oppose les risques purs (risques menaces) aux risques spéculatifs (risques opportunités). Dans le cadre de ce travail, s’intéressant à la fraude, seuls seront pris en comptes les risques aux conséquences négatives, et plus particulièrement les risques opérationnels.

b. Les caractéristiques d’un risque De par sa définition, le risque est caractérisé par :

• sa fréquence : qui renvoie à la probabilité d’occurrence de l’évènement dont les conséquences sont préjudiciables.

• son intensité : qui mesure l’ampleur des préjudices causés.

c. Les différentes natures de risque

Les risques auxquels fait face une organisation peuvent être classés de différentes manières en fonction des critères retenus. Ils peuvent, par exemple, être répertoriés suivant leur origine, interne ou externe, leur domaine d’application, politiques, stratégiques, financiers, opérationnels etc… Pour l’entreprise, en tant qu’unité économique, les risques se répartissent en cinq catégories (2) : 1 « GUIDE 73 Management du risque – Vocabulaire – Principes directeurs pour l’utilisation dans les normes », Geneva, ISO/IEC, 2002, 16 p. 2 P. VERNIMMEN, Finance d’entreprise, Paris, Edidtions Dalloz, 6e édition, 2005,p. 1052

8

1- le risque de marché : traduit l’exposition aux fluctuations des paramètres de marché qui comprennent, non exhaustivement, le risque de taux d’intérêt, de taux de change, de prix des matières premières, du cours des actions, des obligations

2- le risque de crédit (ou de contrepartie) : l’incertitude qu’une contrepartie, par

impossibilité ou décision, n’exécute ses obligations. Certains organismes indépendants se sont spécialisés dans l'estimation de ce type de risque, il s’agit d’agences de notation (Standard and Poor's, Moody's) qui émettent une cote en fonction de critères tels que résultats financiers, dirigeants, prospérité, produits, etc…

3- les risques opérationnels : risques inhérents à l’activité même de l’entreprise.

L’étendue de ces risques est très large et difficile à définir de manière universelle. Citons à titre d’exemple les risques technologiques, climatiques, environnementaux ou encore les erreurs du personnel, des systèmes de production, … Ces risques font l’objet du présent travail et seront approfondis plus loin.

4- les risques politiques, réglementaires, et légaux : ils conditionnent

l’environnement externe immédiat de l’entreprise et fixent ou modifient sa situation concurrentielle.

5- le risque de liquidité : risque de manque de moyens financiers à un moment

donné pour faire face aux paiements de ses engagements immédiats

2. Processus de gestion des risques Le management (ou gestion) du risque est défini par le guide ISO/IEC 73 comme étant les « activités coordonnées visant à diriger et piloter un organisme vis-à-vis du risque ». Ces activités consisteront toujours à apprécier, analyser, identifier, estimer, évaluer, traiter ou accepter et contrôler les risques, leurs sources ou leurs conséquences dans le but d’augmenter la probabilité de succès et de réduire la probabilité d’échec de l’organisme en question à atteindre ses objectifs. Aussi, peut-on scinder l’ensemble du processus de gestion du risque en trois étapes majeures formant un canevas générique applicable à toute institution ou activité.

9

1- apprécier le risque 2- traiter le risque 3- contrôler et améliorer le processus initier

Cette trilogie se succède continuellement tel un mouvement perpétuel destiné à améliorer sans cesse le fonctionnement de l’entité auquel il s’applique.

Appréciation du risque L’appréciation du risque est définie par le Guide ISO/IEC 73 comme « l’ensemble du processus général d’analyse du risque et d’évaluation du risque ».

APPRECIER : - Analyser - Evaluer

CONTROLER / AMELIORER

TRAITER : - le refuser - l’optimiser - l’atténuer - le conserver - le transférer

Figure 1 - Processus de gestion des risques en trois étapes

10

a. Analyse du risque ISO/IEC 73 : « utilisation systématique d’informations pour identifier les sources et pour estimer le risque ».

• Identification des risques

ISO/IEC 73 : « processus permettant de trouver, lister et caractériser les éléments du risque ». Ce processus vise à repérer et cartographier les sources, les évènements, les conséquences et la probabilité des risques à l’aide de plusieurs approches complémentaires. · Une identification a priori Cette identification permet de gérer les risques prévisibles d’une activité et se confond parfois avec la phase de conception réalisée par des professionnels expérimentés qui intègrent l’expérience du domaine, les standards et la réglementation. Dans certains domaines sensibles (chimie, nucléaire), cette phase utilise une démarche explicite de gestion des risques avec création d’un dossier d’analyse des risques puis à autorisation avant toute mise en service. · Une identification a posteriori Il s’agit de prendre en compte des événements (incidents, accidents) qui témoignent de l’existence de risque. On distingue les événements indésirables par des niveaux de gravité différents. Leur représentation sous la forme d’une pyramide permet:

- d’une part de visualiser la fréquence des événements : les anomalies sont plus fréquentes que les incidents, eux-mêmes plus fréquents que les accidents

- d’autre part de constater que les anomalies et incidents sont corrélés aux

accidents. L’accident ne survient jamais de manière isolée sans anomalie ou incident dans le système.

11

3

Citons quelques méthodes d’identification des risques a posteriori :

- le signalement d'événements indésirables. - les enquêtes - réclamations et plaintes - audits

L’identification des risques requiert une approche méthodique pour garantir que chaque activité de l’organisation a été identifiée et que chaque risque qui en découle a bien été identifié.

• Estimation du risque ISO/IEC 73 : « processus utilisé pour affecter des valeurs à la probabilité et aux conséquences d’un risque». L’évaluation du risque peut être quantitative, semi quantitative ou qualitative en termes de probabilité d’occurrence et de conséquences éventuelles.

3 “Principes méthodologiques pour la gestion des risques en établissement de santé”, Agence Nationale d’accréditation et d’évaluation en santé (ANAES), Paris, 2003, p.30

Catastrophe

Accident

Presque accident Précurseur

Evénément sentinelle

Incident Dysfonctionnement

Figure 2 - Exemple de pyramide des événements indésirables

12

Table 1 - Conséquences - Menaces et Opportunités 4

Fort Impact financier sur l'organisation susceptible d'excéder x € Impact significatif sur la stratégie ou les activités opérationnelles de l'organisation. Parties prenantes fortement préoccupées

Moyen Impact financier sur l'organisation compris entre €y et €x. Impact modéré sur la stratégie ou les activités opérationnelles de l'organisation. Parties prenantes modérément préoccupées

Faible Impact financier sur l'organisation susceptible inférieur à €x Faible impact sur la stratégie ou les activités opérationnelles de l'organisation. Parties prenantes faiblement préoccupées

Table 2 - Probabilité d’Occurrence – Menaces 5

Estimation Description Indicateurs Forte Susceptible de survenir chaque

année ou plus de 25% de chances de survenir.

A le potentiel de survenir plusieurs fois dans la période considérée (par exemple dix ans). S'est produit récemment.

Modérée (Possible)

Susceptible de survenir dans les dix prochaines années ou moins de 25% de chances de survenir.

Pourrait survenir plus d'une fois dans la période considérée (par exemple dix ans). Peut être difficile à maîtriser en raison d'influences externes. Y a t il un historique de survenance.

Faible (peu probable)

Peu susceptible de survenir dans les dix prochaines années ou moins de 2% de chances de survenir.

Ne s'est pas encore produit. Peu susceptible de survenir.

Une fois ces deux critères définis pour chaque risque, ceux-ci peuvent être répertoriés dans une matrice appelée “matrice des risques” qui mène à l’étape suivante de l’évaluation.

4 Federation of European Risk Management Associations (FERMA), « Cadre de référence de la gestion des risques », Bruxelles, AIRMIC, ALARM, IRM, 2003, p. 8 5 Ibidem

13

Méthodes d’analyse de risque A coté de la méthode, largement répandue, de la matrice des risques, il existe d’innombrables autres méthodes telles que 6:

• La méthode AMDEC : Analyse des Modes de Défaillances, de leurs Effets et de leur Criticité (utilisée dans l’industrie automobile, pour les appareils médicaux ou autres systèmes techniques).

• La méthode HAZOP : Hazard and Operability Study (industrie chimique).

• La méthode HACCP : Hazard Analysis and Critical Control Points (l’industrie

alimentaire).

• La méthode de l’arbre des défaillances et l’analyse de leurs conséquences Ces méthodes sont citées, non pour être étudiée de près, mais pour montrer qu’il pourrait exister autant de méthodes qu’il existe d’organisations ou processus différents nécessitant une gestion de risque. Chaque méthode répondant aux attentes propres de ses concepteurs.

b. Evaluation du risque

ISO/IEC 73 : «processus de comparaison du risque estimé avec des critères de risque donnés pour déterminer l’importance d’un risque». L’évaluation du risque aide à décider de l’importance de chaque risque spécifique pour l’organisation, et à déterminer s’il est supportable et donc accepté par le propriétaire du risque.

Traitement du risque ISO/IEC 73 : «processus de sélection et de mise en œuvre des mesures visant à modifier le risque». L’objectif de tout traitement de risque est d’assurer : • le bon fonctionnement et la continuité de l’organisation • le respect de la conformité avec les lois et les règlements.

6 Gestion du risque, Association Suisse pour Systèmes de Qualité et de Management (SQS), édition octobre 2006

14

Ainsi la sélection commencera toujours par un choix binaire : accepter ou refuser le risque, soit d’après le guide ISO/IEC 73 :

• refus du risque : décision visant à ne pas être impliqué dans une situation à risque, ou à se retirer d’une situation à risque.

• acceptation du risque : décision d’accepter un risque

Si le choix se porte sur l’acceptation du risque, les mesures destinées à modifier le risque sont :

• la réduction : ISO/IEC 73 : actions entreprises en vue de diminuer la probabilité, les conséquences négatives, ou les deux, associées à un risque.

• l’atténuation : ISO/IEC 73 : limitation de toute conséquence négative d'un

événement particulier.

• le financement : ISO/IEC 73 : réserve de fonds pour couvrir les coûts de mise en oeuvre du traitement du risque et les coûts associés. Dans certaines industries, le financement du risque consiste à provisionner uniquement les conséquences financières relatives au risque.

• le transfert : ISO/IEC 73 : partage avec une autre partie de la charge de la perte, ou du bénéfice du gain, d'un risque.

• la prise de risque : ISO/IEC 73 : acceptation de la charge d’une perte, ou du

bénéfice d’un gain, d’un risque particulier. La prise de risque n'inclut pas les traitements effectués par le biais des assurances, ou le transfert par d'autres moyens.

Profil de risque L’étude de l’appréciation de chaque risque conduit à constituer un portefeuille de risques classé selon leur profil, soit leur catégorie de probabilité et de conséquences.

15

Table 3 - Description des Risques7

1. Nom du Risque 2. Portée du risque description qualitative des événements, taille, type,

nombre et interdépendances 3. Nature du Risque En général stratégique, opérationnelle, financière, liée

aux connaissances ou à la conformité 4. Parties prenantes Parties prenantes et leurs attentes 5. Quantification du Risque Importance et Probabilité 6. Tolérance/Appétence pour le Risque

Perte potentielle et impact financier du risque Valeur à risque 8 Probabilité et amplitude des gains / pertes potentielles Objectif(s) de la maîtrise des risques et niveau désiré de performance

7. Traitement du Risque & Mécanisme de maîtrise

Principaux moyens par quoi le risque est actuellement géré Degré de confiance dans les moyens de maîtrise en place Identification des protocoles pour la surveillance des risques et leur examen

8. Actions d'amélioration possibles

Recommandations pour réduire le risque

9. Développement de la stratégie et de Politique face au Risque

Identification de la fonction responsable de développer la stratégie et la politique face à ce risque

L’attribution de profils aux risques met en évidence leurs importances relatives afin de déterminer ceux qui nécessitent un effort de traitement prioritaire.

7 « Cadre de référence de la gestion des risques », Op. Cit, p. 7 8 Valeur à risque = Value at Risk = VaR : « indicateur synthétique, qui rend compte de la perte minimale pour un niveau de risque et un horizon de temps donnés. […] A titre d’exemple, une VaR1%, 1jour égale à 1 million d’euros signifie qu’un jour sur cent en moyenne, le portefeuille est susceptible de connaître une perte supérieure à ce montant. » B. COUGNAUD, L’Univers des risques en finance. Un équilibre en devenir, Paris, Presses de la fondation nationale des sciences politiques, 2007, p.130

16

Illustration

Table 4 - Exemple d’une liste de dangers dans une société fiduciaire 9 N° Zone de danger (0)

Domaine de danger Description du risque Probabilité (1) Potentiel

de dommages (2) Respon- sable

Mesures Echéance

1 Menace stratégique Activité commerciale courante

dépend de peu de client, la perte de client entraîne des licenciements

possible menace l'existence de l'entreprise

XY Diversification de la clientèle par la focalisation sur une autre branche, élaboration d'une planification de marketing

Décembre 20xx

4 Direction et collaborateurs Collaborateurs Comportement

Malversations d'un collaborateur / Atteinte à l'image de la marque

Très rare menace l'existence de l'entreprise

ZY Vérification des autorisations de signature Vérification du processus d'autorisation Vérification du processus de surveillance

Juin 20xx

6 Direction et collaborateurs Pratiques commerciales déloyales

Application imprécise (laxiste, superficielle, pas sérieuse) des standards commerciaux

improbable menace l'existence de l'entreprise

ZY Audits fonctionnels par les supérieurs hiérarchiques, sondage auprès de la clientèle, formation et formation continue

Deux fois par an jusqu'à juin 20xx tous les 2 mois

10 Menace opérationnelle Dangers pour les installations de production

Inondation des locaux Très rare menace l'existence de l'entreprise

XX Nouveau local informatique au 1er étage du bâtiment, s'assurer du bon déroule- ment du transfert du site

Juillet 20xx Janvier 20xx

16 Menace financière Liquidité et non-paiement

Dépassement de la limite de crédit - intérêts bancaires plus élevés

fréquent sensible ZZ Améliorer le processus des relances et la planification des liquidités

Octobre 20xx

(0) Zones de danger : menace stratégique; menace opérationnelle; menace financière; direction et collaborateurs

(1) Fréquent = hebdomadaire; possible = mensuel; rare = annuel; très rare = tous les 5 ans; improbable = + de 5 ans

(2) insignifiant = - de 5000; minime = - de 10.000; sensible = - de 50.000; critique = - de 100.000; menace l'existence = + de 100.000

Ces risques sont reportés dans la matrice des risques dans laquelle est défini un seuil de tolérance. Les risques situés au delà de ce seuil ne doivent pas être tolérés; par contre, les risques situés sous ce seuil seront considérés acceptables.

9 Association Suisse pour Systèmes de Qualité et de Management (SQS),Zollikofen, Newsletter édition octobre 2006

17

Analyse du risque

Fréquente

Possible

Rare

Très rare

pro

bab

ilité

Improbable

Insi

gnifi

ante

Réd

uite

Per

cept

ible

Crit

ique

cata

stro

phiq

u

Gravité/effet

Risque réduit, pas de disposition nécessaire

Risque moyen, vérifier la nécessité de dispositions de réduction du risque

Risque élevé, dispositions nécessaire pour réduire le risque

Risque non acceptable, des dispositions d’urgence sont nécessaires pour le réduire

Contrôle et Revue du processus de gestion du risque

Il convient d’auditer régulièrement la conformité à la politique et aux normes, et de passer régulièrement les performances en revue pour identifier les sources de nuisances persistantes ou les opportunités d’amélioration. Le Reporting Le rapport constitue le principal moyen de circulation de l’information et contribue à prendre les actions nécessaires dans le cadre du processus de gestion des risques. C’est pourquoi il doit être conçu et transmis à son destinataire interne ou externe sous une forme utile et facilement exploitable. Le reporting interne est destiné à l'instance dirigeante afin de définir l’approche générale de gestion des risques et la répartition des responsabilités.

18

Il incombera généralement au unités opérationnelles de se tenir informées des risques qui relèvent de leur responsabilité, de leurs impacts possibles afin de rendre compte aux responsables de l’organisation de tout nouveau risque ou échec des mesures de maîtrise des risques existants. Le reporting externe rend compte aux parties prenantes extérieures à l’organisation (les actionnaires ou investisseurs potentiels par exemple) sur la politique de gestion des risques et on efficacité quant à la protection des intérêts des parties prenantes.

19

Partie 2 : LA GESTION DES RISQUES OPERATIONNELS

20

1. Risques Opérationnels Il n’existe pas de définition universelle des risques opérationnels qui puisse brasser à la fois tous les secteurs d’activités et les différences culturelles, organisationnelles ou linguistiques. On considère de manière générale le risque opérationnel comme la vulnérabilité à laquelle est confrontée une organisation dans la gestion quotidienne de ses activités. Le champs de ces risques est très large et couvre par exemple les événements naturels, la fraude interne, externe, le vol, le sabotage, la responsabilité civile, la sécurité du travail, les défaillances des systèmes, la divulgation d’informations confidentielles, la détérioration de l'outil industriel, les risques technologiques, les risques environnementaux, etc… Au-delà de cette acceptation générale, chaque secteur, voire chaque organisation, définira, de manière plus appropriée à ses besoins, quels seront ses propres risques opérationnels. L’étude des risques opérationnels se distingue souvent de l’étude des autres risques par :

• La rareté des données pour élaborer un modèle • La difficulté d’en estimer à priori l’impact

2. Les risques opérationnels et la banque Les banques rencontrent, comme toute entreprise, des difficultés dans la maîtrise de leur organisation et sont régulièrement victimes de défaillances dues à la sécurité (vols, hold-ups,…), à l’intégrité du système d’information (système de gestion comptable, dispositif de gestion du portefeuille crédit,…), à la fraude,… Ces défaillances ont souvent défrayé la chronique par les scandales qu’elles engendraient et ont mené le secteur bancaire à se munir de règles de fonctionnement de plus en plus précises et contraignantes. Ainsi la définition du risque opérationnel applicable à tout le secteur a été édictée par le Comité de Bâle(10) et s’énonce comme suit :

10 voir pt. 3 infra

21

"risque de pertes provenant de processus internes inadéquats ou défaillants, de personnes et systèmes ou d'événements externes. La définition inclut le risque

juridique, mais exclut les risques stratégiques et d’atteinte à la réputation". 3. Comité de Bâle

Le Comité de Bâle sur la surveillance bancaire s’inscrit dans une démarche mondiale de réglementation de la profession bancaire et a pour objectif d’empêcher les crises dans le secteur telle que celle qui suivit la faillite de la banque allemande Herstatt en 1974. C’est en effet suite à cette crise (le système des paiements interbancaires de New York cessa de fonctionner pendant plusieurs jour) que le Comité sur les règles et pratiques de contrôle sur les opérations bancaires (Comité de Bâle) a été créé. En 1988, ce Comité a institué l’accord capital pour les risques de Crédit. Cet accord prévoyait que les banques des pays du Groupe des dix (G10 : en réalité 12 pays : Belgique, Canada, France, Allemagne, Italie, Japon, Luxembourg, Pays-Bas, Suède, Suisse, Royaume-Uni, Etats-Unis) mettent en réserve le capital nécessaire pour couvrir le risque que certains de leurs prêts ne soient pas remboursés en respectant un ratio de solvabilité appelé ratio Coke. Cet accord est entré en application au 1er janvier 1993. Le ratio à respecter ne fait pas directement force de loi mais est transcrit par les autorités de régulation dans les réglementations locales. Aujourd’hui en Europe c'est la communauté européenne qui se charge de faire appliquer les recommandations du comité de Bâle, via la CAD (Capital Adequacy Directive) et qui a étendu le champ d’application aux fonds d’investissements. Pour désigner ce ratio on parle indifféremment de ratio de solvabilité ou d'adéquation des fonds propres. En 1996, la même organisation intégrait au ratio Cooke le risque de marché.

• Bâle II En janvier 1999, le comité de Bâle a proposé la mise en oeuvre de nouveaux accords appelés “accords de Bâle II” contenant de nouvelles exigences imposées au marché bancaire suivant trois obligations (piliers) :

22

Le processus de surveillance prudentielle renforce le pouvoir des autorités de régulation et leur donne latitude entre autres de majorer les exigences du capital réglementaires en cas de nécessité. La discipline de marché décrit l'ensemble des documents que les banques doivent rendre publics afin de se conformer à la réglementation. Ces documents concernent principalement le calcul des fonds propres et l'exposition aux risques de l'établissement. Mais Bâle II est surtout caractérisé par le pilier d’exigence des fonds propres nécessaire aux banques, en fonction de leur prise de risques, dont le risque opérationnel. Cette exigence se traduit par un ratio appelé Ratio Mac Donough (du nom du président du comité) qui sera expliqué plus loin.

4. Processus de gestion des risques opérationnels Transposons le schéma de gestion des risques en trois étapes, vu plus haut, au cas des risques opérationnels

Appréciation du risque opérationnel

a. Analyse du risque opérationnel

• Identification des risques La première étape s'appuie sur une analyse des processus métier, à laquelle on croise la typologie des risques opérationnels. Un processus métier désigne un ensemble de tâches coordonnées en vue de fournir un produit ou un service à la clientèle.

EXIGENCE EN FONDS PRPRES

PROCESSUS DE SURVEILLANCE PRUDENTIELLE

DISCIPLINE DE MARCHE

BALE 2

23

Figure 3 Découpage de la banque en activités (11)

L'identification des processus métier part ainsi des différents produits et services et identifie les acteurs (qui peuvent appartenir à des entités différentes au sein de l'organisation) et les tâches impliquées dans la fourniture de ces produits. Typologie de risques Bâle II défini sept catégories principales de risques opérationnels, ensuite chaque catégorie est subdivisée en 2 niveaux successifs de sous-catégories.

11 J-L SIRGUGUET, E. FERNANDEZ et L. KOESSLER, Le contrôle interne bancaire et la fraude, Paris, Dunod, 2006, p 102

Banque

Activités bancaires

Dépôts Autres Crédits

Activités support

R.H. Autres Comptabilité

(Selon la loi bancaire)

24

Table 5 - Classification détaillée des événements générateurs de pertes opérationnelles selon Bale 2 (12)

Catégorie d’événement (Niveau 1) Définition Sous-catégorie (Niveau 2) Exemples (Niveau 3) Fraude interne Pertes dues à des actes visant à frauder, détourner Activité non autorisée Transactions non notifiées (intentionnellement) des biens ou à contourner les règlements, la Transactions de type non autorisé (avec perte législation ou la politique de l’entreprise (à l’exception financière) des atteintes à l’égalité et des actes de discrimination), Évaluation (intentionnellement) erronée d’une position impliquant au moins une partie interne à l’entreprise Vol et fraude Fraude/fraude au crédit/absence de provisions Vol/extorsion/détournement de fonds/vol qualifié Détournement de biens Destruction malveillante de biens Contrefaçon Falsification de chèques Contrebande Usurpation de compte/d’identité/etc. Fraude/évasion fiscale (délibérée) Corruption/commissions occultes Délit d’initié (pas au nom de l’entreprise) Fraude externe Pertes dues à des actes visant à frauder, détourner Vol et fraude Vol/vol qualifié des biens ou contourner la législation, de la part d’un Contrefaçon tiers Falsification de chèques

Sécurité des systèmes Dommages dus au piratage informatique

Vol d’informations (avec perte financière) Pratiques en matière d’emploi et Pertes résultant d’actes non conformes à la législation Relations de travail Questions liées aux rémunérations et aux avantages, sécurité sur le lieu de travail ou aux conventions relatives à l’emploi, la santé ou la à la résiliation du contrat de travail sécurité, de demandes d’indemnisation au titre d’un Activité syndicale dommage personnel ou d’atteintes à l’égalité/d’actes de discrimination Sécurité du lieu de travail Responsabilité civile (chute, etc.) Événements liés à la réglementation sur la santé et la sécurité du personnel Rémunération du personnel

12 Comité de Bâle sur le contrôle bancaire, « Convergence internationale de la mesure et des normes de fonds propres », Banque des Règlements Internationaux (BRI), Bâle, 2004, Annexe 7

25

Égalité et discrimination Tous types de discrimination

26

Catégorie d’événement (Niveau 1) Définition Sous-catégorie (Niveau 2) Exemples (Niveau 3) Clients, produits et pratiques Pertes résultant d’un manquement, non intentionnel ou Conformité, diffusion d’informations et Violation du devoir fiduciaire/de recommandations commerciales dû à la négligence, à une obligation professionnelle devoir fiduciaire Conformité/diffusion d’informations (connaissance de envers des clients spécifiques (y compris exigences la clientèle, etc.) en matière de fiducie et de conformité) ou de la nature Violation de la confidentialité de la clientèle ou conception d’un produit Atteinte à la vie privée Vente agressive Opérations fictives Utilisation abusive d’informations confidentielles Responsabilité du prêteur

Pratiques commerciales/de place Législation antitrust

incorrectes Pratiques incorrectes Manipulation du marché Délit d’initié (au nom de l’entreprise) Activité sans agrément Blanchiment d’argent

Défauts de production Vices de production (absence d’agrément, etc.)

Erreurs de modèle

Sélection, promotion et exposition Insuffisance de l’analyse clientèle

Dépassement des limites d’exposition d’un client

Services-conseil Conflits sur l’efficience des prestations

Dommages aux actifs corporels Destruction ou dommages résultant d’une catastrophe Catastrophes et autres sinistres Pertes résultant d’une catastrophe naturelle naturelle ou d’autres sinistres Pertes humaines dues à des causes externes (terrorisme, vandalisme) Interruptions d’activité et Pertes résultant d’interruptions de l’activité ou de Systèmes Matériel dysfonctionnements des systèmes dysfonctionnements des systèmes Logiciel Télécommunications Interruptions/perturbations d’un service public Exécution, livraison et gestion des Pertes résultant d’un problème dans le traitement Saisie, exécution et suivi des Problèmes de communication processus d’une transaction ou dans la gestion des processus ou transactions Erreurs dans la saisie, le suivi ou le chargement subies dans le cadre des relations avec les Non-respect de délais ou d’obligations contreparties commerciales et les fournisseurs Erreurs de manipulation du modèle/système Erreurs comptables/d’affectation d’une entité Autres erreurs d’exécution Problèmes de livraison Fautes dans la gestion des sûretés Mauvais suivi des données de référence

Surveillance et notification financière Manquement à l’obligation de notification

Inexactitudes dans les rapports externes (pertes)

27

Catégorie d’événement (Niveau 1) Définition Sous-catégorie (Niveau 2) Exemples (Niveau 3)

Admission et documentation clientèle Absence d’autorisation clientèle ou de déni de

responsabilité Documents juridiques absents/incomplets

Gestion des comptes clients Accès non autorisé aux comptes

Données clients incorrectes (pertes) Actifs clients perdus ou endommagés par négligence

Contreparties commerciales Faute d’une contrepartie hors clientèle

Divers conflits avec une contrepartie hors clientèle

Fournisseurs Sous-traitance

Conflits avec les fournisseurs

28

Lignes Métier Bâle II classe ces activités suivant 8 lignes métier

Ventilation en lignes de métier 13

Niveau 1 Niveau 2 Groupes d’activité Financement des entreprises Financement Financement collectivités Fusions-acquisitions, engagement, privatisations, titrisation, recherche, d’entreprise locales/administration titres de dette (État, haut rendement), actions, prêts consortiaux, publique introductions en bourse, placements sur le marché secondaire Banque d’affaires Service-conseil Activités de Vente marché Tenue de marché Valeurs à revenu fixe, actions, changes, produits de base, crédit, Prise de positions pour financement, titres sur position propre, prêts et pensions, courtage, titres compte propre de dette, courtage de premier rang Trésorerie Banque de détail Prêts et dépôts, services bancaires, fiducie et gestion de patrimoine Banque de détail Banque privée Prêts et dépôts, services bancaires, fiducie et gestion de patrimoine, conseils en placement Cartes Cartes de commerçant/commerciales/d’entreprise/de clientèle et commerce de détail Banque Banque commerciale Financement de projets, immobilier, financement d’exportations et du commerciale commerce, affacturage, crédit-bail, prêts, garanties, lettres de change Paiements et règlements Clientèle extérieure Paiements et recouvrements, transferts de fonds, compensation et règlement Conservation Dépôts fiduciaires, certificats de titres en dépôt, prêts de titres (clients), opérations de sociétés Fonctions d’agent Prestations d’agent aux Agents émetteurs et payeurs entreprises Services de fiducie aux entreprises Gestion de portefeuille Gestion centralisée, séparée, de détail, institutionnelle, fermée, ouverte, Gestion d’actifs discrétionnaire capital investissement Gestion de portefeuille Gestion centralisée, séparée, de détail, institutionnelle, fermée, ouverte non discrétionnaire Courtage de détail Courtage de détail Exécution et service complet

En Belgique, les activités d’une banque sont énumérées à l'article 3, § 2 de la loi bancaire du 22 mars 1993 : 1) Réception de dépôts ou d'autres fonds remboursables. 2) Prêts y compris notamment le crédit à la consommation, le crédit hypothécaire, l'affacturage avec ou sans recours et le financement des transactions commerciales (forfaitage inclus). 3) Crédit-bail. 4) Opérations de paiement. 5) Emission et gestion de moyens de paiement (cartes de crédit, chèques de voyages, lettres de crédit). 6) Octroi de garanties et souscription d'engagements.

13 Comité de Bâle sur le contrôle bancaire, Op. Cit., Annexe 6

29

7) Transactions pour le compte propre de l'établissement ou pour le compte de sa clientèle sur : a) les instruments du marché monétaire (chèques, effets, certificats de dépôts, etc.) b) les marchés des changes c) les instruments financiers à terme et options d) les instruments sur devises ou sur taux d'intérêts e) les valeurs mobilières. 8) Participation aux émissions de titres et prestations de services y afférents. 9) Conseil aux entreprises en matière de structure du capital, de stratégie industrielle et des questions connexes et conseils ainsi que services dans le domaine de la fusion et du rachat d'entreprises. 10) Intermédiation sur les marchés interbancaires. 11) Gestion ou conseil en gestion de patrimoine. 12) Conservation et administration de valeurs mobilières. 13) Renseignements commerciaux. 14) Location de coffres. D’autre part, les mesures contenues dans les accords de Bâle sont transposés par l’Arrêté de la Commission bancaire, financière et des Assurances du 17 octobre 2006 concernant le règlement relatif aux fonds propres des établissements de crédit et des entreprises d'investissement, approuvé par l'arrêté ministériel du 27 décembre 2006. Les établissements de crédit ont pu appliquer Bâle II en Belgique de manière optionnelle depuis le 1er janvier 2007 et cette norme est devenue obligatoire en Belgique à partir du 1er janvier 2008. Voici, repris dans les deux tableaux suivants (14), le résultat d’une enquête menée en 2002 par le comité de Bâle auprès de 89 banques pour évaluer la probabilité d’occurrence et la perte moyenne des déférents types d’événements de risques opérationnels par ligne métier. Il en ressort de manière significative que les pertes rapportées concernent essentiellement des erreurs d’exécution, des dommages physique et de la fraude externe.

14Source : BRI, « The 2002Loss Data Collection Exercise for Operationnal Risk : Summary of the Data Collected », 2002 in B. COUGNAUD, Op. Cit., p 108.

30

Table 6 - Répartition des incidents par type de risque ligne métier

Table 7 - Répartition des pertes par type de risque et ligne métier

Chaque événement à risque doit être rattaché à une catégorie de risques rendant ensuite l'analyse des données plus facile et rapide. Par contre pour être réaliste et utile, l'analyse des processus métier et des risques encourus doit être confiée aux opérationnels concernés. Ceux-ci s'appuieront sur un cadre de travail rigoureux et identique pour tous, mais qui leur permette de décrire leurs activités. Enfin la cartographie ne saurait être complète si elle ne s'accompagnait de l'identification des facteurs de risque : ce sont les éléments quantitatifs susceptibles d'augmenter la probabilité de réalisation d'un risque : nombre d'opérations traitées, taux d'absentéisme, etc. Cette notion constitue le fondement de la méthode dite des "scorecard". L'identification a priori des risques aboutit à une cartographie « théorique » des activités, mais seule l'expérience permet de valider cette description d'abord,

31

d'identifier les zones d'activité sensibles pour y mettre en place les contrôles adéquats ensuite. On passe alors à la collecte des incidents constatés dans une base historique, permettant d'évaluer les pertes réellement subies suite aux risques opérationnels (loss data). La collecte s'effectue généralement sous forme déclarative. Les opérationnels remplissent des fiches standardisées qui sont ensuite saisies dans une base de données ou saisissent directement dans l'outil. De telles bases, alimentées sur plusieurs années consécutives, deviennent une source précieuse d'information pour le management des risques opérationnels. Ces données permettent de dégager une vision objective, chiffrée, des risques encourus. La collecte des événements de perte s'appuie sur la cartographie précédemment établie pour le recensement et le référencement des incidents. Elle permet par ailleurs, par un effet rétroactif, de peaufiner cette cartographie. Il existe également des bases similaires mais provenant de sources externes. Ces données complètent avantageusement les données collectées en interne. En effet les bases historiques ne recensent par définition que les incidents qui se sont déjà produits dans l'établissement. L'analyse statistique des données de pertes ainsi recensées permet d'obtenir un graphe des événements de pertes où s'échelonnent, d'une extrémité à l'autre, les événements fréquents mais ayant un impact financier faible, jusqu'aux événements rarissimes mais aux conséquences catastrophiques. Cette distribution des risques peut ensuite faire l'objet de toutes sortes de calculs sophistiqués.

• Description des Risques Dans la mesure où les outils de modélisation des processus intègrent déjà les tâches, les acteurs (internes comme externes), les moyens, un référentiel de processus fournit une structure d’accueil naturelle à la cartographie des risques opérationnels. A chaque étape du processus on associe les incidents susceptibles d'en perturber le déroulement et d'entraîner la non réalisation des objectifs du processus. Ensuite ces risques sont classés (de type famille – sous-famille – risque, par exemple), et estimés (fréquence, niveau de criticité, …) avant de les rattacher aux éléments concernés du référentiel (tâche, acteur, système,...).

32

b. Mesure du risque opérationnel Le dispositif de calcul des fonds propres prévu par Bâle II propose aux banques trois méthodes de calcul de complexité croissante :

- L'indicateur de base consiste en l'application d'un ratio forfaitaire (15%) au Produit Net Bancaire15 des 3 derniers exercices.

- L'approche standard permet d'appliquer un coefficient différent selon les

lignes métier. L'éligibilité à cette méthode impose de disposer de données chiffrées des pertes supportées par chaque ligne métier du fait des risques opérationnels.

- l'approche avancée permet à l'établissement de construire sa propre

méthode interne d'évaluation des risques opérationnels. Le choix de cette méthode impose de disposer des données suivantes :

- Données de pertes internes (propres à l'établissement) - Données de pertes externes (bases de données sur l'ensemble de la

profession) - Analyses de scénarios d'événements potentiels - Analyses des facteurs d'environnement et de contrôle interne

La méthode avancée nécessite un investissement plus conséquent au départ, mais permet aussi de réduire les exigences en fonds propres Cette méthode admet trois grands types d’approches : les méthodes statistiques, les approches par scénarios et les approches par "scorecards".

• Approches statistiques L'exemple le plus représentatif des méthodes statistiques est l'approche par la « Distribution des pertes » ou « Loss Distribution Approach » (LDA). Elle s'appuie sur une base de données des événements de pertes collectés au sein de l'établissement, enrichi de données provenant de sources externes. La démarche consiste d'abord à établir, pour chaque ligne métier et chaque type d'événement de pertes, 2 courbes de distribution des probabilités de pertes, l'une représentant la fréquence des événements de pertes sur un intervalle de temps donné (loss frequency distribution), l'autre la sévérité de ces mêmes événements (loss severity distribution). Pour ce faire, on trie les événements de pertes par fréquence d'une part, et par coût d'autre part, et l'on représente le résultat sous forme graphique (histogrammes).

15 Le produit net bancaire peut être rapproché de la valeur ajoutée dégagée par les entreprises non financières.

33

Pour chacune des distributions obtenues, on recherche ensuite le modèle mathématique qui rend le mieux compte de la forme de la courbe. Pour valider le choix d'un modèle mathématique, on met en relation le résultat (fréquence ou perte) prédit par le modèle mathématique et le résultat de la courbe issue des données réelles : si les 2 courbes se superposent, le modèle est réputé fiable. On combine alors les 2 distributions pour chaque ligne métier et chaque type d'événement, une courbe agrégée de distribution des pertes pour un horizon de temps donné.

Figure 4 Combinaison des distributions de fréquence et de sévérité (16)

Pour chacune, la Value At Risk (VaR) est la perte maximale encourue avec une probabilité de 99,9%. Le capital requis dans le cadre de Bâle II est alors la somme des VAR ainsi calculées.

• Approches par scénarios L'approche par scénarios consiste à mener des enquêtes systématiques auprès d'experts de chaque ligne métier et de spécialistes de la gestion des risques. Le but est d'obtenir de ces experts une évaluation de la probabilité et du coût d'incidents opérationnels identifiés conformément aux grilles d'analyse proposées par le comité de Bâle.

16 A. CHAPELLE, G. HUBNER, J-Ph. PETERS, Le risque opérationnel. Implications de l’accord de Bâle pour le secteur financier, Bruxelles, DeBoeck & Larcier, 2005 p.40

34

La construction des scénarios combine l'ensemble des facteurs de risques d'une activité donnée. On effectue ensuite des simulations en faisant varier les facteurs de risque. Cette approche constitue un complément intéressant quand les données historiques ne sont pas suffisantes pour appliquer une méthode purement statistique. Elle trouve en particulier son application pour évaluer les impacts d'événements de risque de sévère amplitude ou l'impact de la survenance simultanée de plusieurs événements. En effet la méthode statistique décrite plus haut présente l'inconvénient de considérer les incidents opérationnels comme complètement décorrélés, et ne prend pas en compte leurs effets éventuellement cumulatifs. Contrairement à ce que pourrait indiquer son intitulé, l'approche par scénarios n'a pas qu'un aspect purement "qualitatif ". Elle se prête également à la modélisation mathématique.

• Scorecards Les méthodes statistiques sont fondées sur des calculs parfois extrêmement sophistiqués reprenant des données d'échantillonnage de risques opérationnels insuffisamment nombreux, dispersés, et soumis à des appréciations subjectives ce qui peut remettre en cause la fiabilité de ces méthodes. La sophistication des calculs donne une apparence de sérieux qui ne résiste peut-être pas toujours à l'examen des données sur lesquelles ils s'appuient. De plus ces méthodes, fondées exclusivement sur des données historiques, ne permettent pas d'anticiper les changements dans le profil de risque de l'établissement dus aux évolutions internes (nouvelles organisations, nouvelles activités) et externes (évolutions des marchés, de la concurrence, apparition de nouvelles méthodes de fraude). Elles fondent les estimations sur les événements qui se sont déjà produits, pas sur ceux qui pourraient réellement se produire, et parmi lesquels se trouvent les plus redoutés, ceux qui se produisent rarement mais avec des conséquences lourdes. La méthode des scorecards offre de ce point de vue une alternative intéressante, puisqu'elle s'appuie non pas sur des données de pertes effectivement constatées, mais sur des indicateurs de risques, qui incorporent donc une vision "a priori" des risques opérationnels. Cette méthode consiste à produire pour chaque catégorie de risques, une grille d'appréciation regroupant des indicateurs quantitatifs : taux de turnover, nombre d'opérations, … et qualitatifs : appréciation de la vitesse de changement d'une activité, par exemple. Ces questionnaires englobent à la fois les critères destinés à renseigner sur la probabilité et l'impact potentiel d'un risque. Une fois ces questionnaires établis, on effectue une première évaluation a priori.

35

Le montant de capital est ensuite distribué à chaque catégorie de risques en évaluant, pour chaque ligne métier, l'importance relative de chaque catégorie de risques. Le résultat de ce dépouillement permet d'établir un "score" de chaque ligne métier pour chaque catégorie de risque opérationnel. La répétition de ce processus permet de faire évoluer au fil du temps la quantité de capital allouée à chaque ligne métier. La méthode des scorecards permet d'obtenir un tableau détaillé du profil de risques de l'établissement. Elle permet également d'impliquer les opérationnels dans le suivi des risques, et constitue de ce fait également une forte incitation à la réduction de ces mêmes risques.

Traitement des risques opérationnels La maîtrise et si possible la réduction des risques opérationnels nous ramènent à la cartographie des risques. Il s'agit d'abord de déterminer un niveau de risque acceptable, puis d'identifier les mesures nécessaires pour ramener le risque à ce niveau. Les banques font appel à plusieurs techniques pour couvrir les risques qu’elles encourent17 :

- La provision pour risques : solution adaptée à des risque prévisibles et circonscrits

- L’assurance : pour qu’un risque soit assurable il faut qu’il soit aléatoire,

quantifiable et compensable financièrement

- L’auto-assurance : la banque ne souscrira pas d’assurance (et supportera elle-même les coûts de pertes éventuelles) si le coût des pertes est inférieur au prix de l’assurance ou si le coût du risque en est pas précisément identifié.

- La franchise : permet une économie de gestion puisque la prime

d’assurance sera réduite

- Financements alternatifs : utilisation des de produits dérivés par exemple

- Captives : cette solution réservée aux banques de taille importante consiste à créer une filiale agissant en tant que compagnie d’assurance ou de réassurance.

17 J-L SIRGUGUET, E. FERNANDEZ et L. KOESSLER, Op. Cit., p. 126

36

Contrôle et suivi La mise en œuvre des mesures de contrôle et plans d'action résulte ensuite d'un compromis entre leur coût d'application et le niveau de risque obtenu. Le cadre de la gestion des risques doit évoluer en même temps qu'évolue l'activité de l'établissement : chaque démarche projet devrait donc comprendre un volet risque visant à

- Revoir les processus métier au regard du projet : création de nouveaux processus, disparition ou adaptation des processus existants

- Identifier les risques encourus Une véritable démarche de suivi du risque opérationnel s'inscrit donc dans un processus récursif.

5. Ratio Mac Donough (18) Le ratio Mac Donough est le ratio de solvabilité ou d'adéquation des fonds propres. La solvabilité d'une entreprise reflète sa capacité à rembourser l'intégralité de ses engagements. Pour une banque, les dettes sont essentiellement constituées des dépôts de ses clients. Les actifs financiers sont constitués des crédits octroyés puisque la finalité d'une banque est de distribuer du crédit. La solvabilité d'une banque est donc sa capacité à faire face aux demandes de retrait de ses déposants. Et c’est aux autorités de tutelle de s'assurer que les banques sont bien aptes à faire face à leurs obligations. Il y va en effet de la stabilité de l'économie tout entière d'un pays. Pour pouvoir distribuer davantage de crédit, la banque doit soit collecter davantage de dépôts, au risque de ne pas pouvoir rembourser ceux-ci, soit renforcer ses capitaux propres. L'actif ainsi constitué essentiellement de créances présente dès lors un caractère aléatoire et donc risqué, alors que les dettes, sont inéluctables, c'est pourquoi il faut qu'une partie de l'actif soit financé non pas par des dettes mais par du capital. Les fonds propres garantiront la solvabilité de la banque face aux pertes que les risques pris à l'actif pourraient entraîner.

18 Source : http://www.marches-financiers.net

37

Pour toutes ces raisons, le ratio de solvabilité, dans le cas des banques, s'exprime par le rapport entre, d’une part, le montant des fonds propres dits réglementaires et, d’autre part, les trois risques que sont le risque de crédit, le risque de marché et le risque opérationnel.

Fonds propres réglementaires

---------------------------------------------------------------------------------------------------- >= 8% risque de marché + risque opérationnel + risque de crédit

Le risque opérationnel ayant déjà été décrit, passons rapidement en revue les autres composantes de ce ratio.

Fonds propres réglementaires

Voici schématiquement les éléments essentiels du bilan compris dans les « fonds propres réglementaires ».

Figure 5 19

19 http://www.marches-financiers.net

39

Le risque de crédit Le risque de crédit est le risque qu'un débiteur fasse défaut. Pour mesurer le risque de crédit, on va donc pondérer le montant total de la créance, ce qu'on appelle " l'encours ", par la qualité du débiteur. Le comité de Bâle définit donc plusieurs catégories d'expositions au risque de crédit, avec pour chaque catégorie une pondération à appliquer à l'encours prêté. Cette pondération va de 0% pour les Etats souverains, ce qui revient à dire qu'on considère que les créances sur les Etats souverains sont sans risque, à 150% pour les contreparties les moins bien notées. En effet dans l'approche standard les pondérations à appliquer dépendent des notes attribuées à la contrepartie par les agences de notation (Moody's, Standard & Poors…).

Figure 6 (20)

Le risque de marché Le risque de marché est le risque de perte ou de dévaluation sur les positions prises suite à des variations des prix (cours, taux) sur le marché. Ce risque s'applique aux instruments suivants : produits de taux (obligations, dérivés de taux), actions, change, matières premières. Le risque sur produits de taux et actions se mesure sur la base du " portefeuille de trading ", c'est-à-dire des positions détenues par la banque pour son propre compte dans un objectif de gain à court terme, par opposition aux activités " normales " de financement et d'investissement. Chaque catégorie d'instrument nécessite une méthode de calcul différente, qui consiste toujours à évaluer d'abord une position, puis à calculer le capital requis en appliquant une pondération de 0 à 8% sur cette position.

20 http://www.marches-financiers.net

40

Figure 7 (21)

Calcul du ratio final (22) Pour préserver la cohérence du calcul, les montants de fonds propres requis au titre du risque de marché et du risque opérationnel doivent être multipliés par 12.5 (l'inverse de 8% !) avant de les incorporer au calcul final. Risque de crédit = Actifs pondérés en fonction de leur risque Risque de marché = Capital requis pour la couverture du risque de marché x 12.5 Risque opérationnel = Capital requis pour la couverture du risque opérationnel x 12.5

21 http://www.marches-financiers.net 22 Ibidem

41

Comptabilisation des risques opérationnels

Une provision pour risque opérationnel doit être constituée pour les risques qui se sont effectivement matérialisés, par exemple un litige commercial ou une fraude. Les montants sont établis au cas par cas en fonction de l'analyse du dossier tenant compte notamment des couvertures existantes (par exemple une assurance contre la fraude). Pour les risques opérationnels qui ne se sont pas encore matérialisés, il n'y a pas de provision spécifique, le résultat attendu de l'établissement devrait être suffisant pour couvrir ce risque. Dotation de la provision 518100 Dotation au fonds pour risques bancaires généraux xxx 254100 Fonds pour risques bancaires généraux xxx

Utilisation de la provision 254100 Fonds pour risques bancaires généraux xxx

418100 Prélèvements sur le fonds pour risques bancaires généraux

xxx

Les systèmes d'information et le risque opérationnel La complexité et l’étendue de la gestion des risques opérationnels ont nécessité le développement de Systèmes d'Information dédiés à cette gestion. Aujourd’hui, les outils de suivi du risque opérationnel en développement tendent à intégrer soit la démarche qualitative : cartographie des risques, soit la démarche quantitative : bases de données des incidents et exploitation statistique des historiques, soit préférentiellement les deux et incluent généralement les fonctions suivantes :

- Modélisation de l'organisation - Modélisation des processus métier - Collecte et stockage des incidents - Exploitation statistique des données historiques - Mesure du risque - Calcul du capital réglementaire - Reporting

42

Partie 3 : LA LUTTE CONTRE LA FRAUDE EN MILIEU BANCAIRE

43

1. Introduction Aucune institution financière ne peut se prévaloir d’être à l’abri de fraudes internes perpétrées par le personnel, ou externe, perpétrée par un tiers. Dans toutes les opérations financières il y a risque de fraude et le secteur bancaire ne peut prétendre l’éliminer, il faut donc le traiter. Deux causes majeures expliquent à elles seules les raisons pour lesquelles le risque de fraude ne peut être éliminé. La première est due à la nature même de la fraude dont les incitants et les formes multiples et variées feront toujours naître de nouvelles fraudes qui n’auront pu être anticipées. La seconde cause majeure est liée à la vulnérabilité des dispositifs anti fraude, par exemple :

- les politiques peuvent être en partie ignorées - le personnel juge la politique peu réaliste et ne l’applique pas - collusion ou complicité interne - en exerçant un effort pour équilibrer les coûts des mesures de contrôles

aux expositions potentielles, l’organisation aura toujours des parties vulnérables.

Cette partie expose l’application de la gestion des risques opérationnels bancaires au cas de la fraude.

2. Notion de fraude Le mot « fraude » viendrait du latin fraus - fraudis qui signifie fourberie, préjudice, piège et même crime23. Les acceptations contemporaines énumérées par la loi, les dictionnaires et autres règlements sont multiples. Cependant, de toutes les définitions ressortent deux caractéristiques communes : la tromperie et l’intention. Dans le cas de la fraude en milieu bancaire qui nous occupe dans ce travail nous retiendrons la définition de l’International Federation of Accoutants dans la Norme Internationale d’Audit ISA 240 « La responsabilité de l’auditeur dans la prise en considération de fraudes dans l’audit d’états financiers » : ”Le terme fraude désigne un acte intentionnel commis par un ou plusieurs dirigeants, par des personnes constituant le gouvernement d'entreprise, par des employés ou

23 J-L SIRGUGUET, E. FERNANDEZ et L. KOESSLER, Op. Cit., p.6

44

par des tiers, impliquant des manœuvres dolosives dans le but d'obtenir un avantage indu ou illégal”(24). Ainsi pour l’IFAC, dans cette définition, seul le terme « intentionnel », autrement dit « volontaire », distingue la fraude de l’erreur.

• Les types de fraude Le Comité de Bâle distingue deux catégories de fraude : la fraude interne et la fraude externe.

- La fraude interne : pertes dues à des actes visant à frauder, détourner des biens ou contourner des règlements, la législation ou la politique de l’entreprise […], impliquant au moins une partie interne à l’entreprise.

- La fraude externe : pertes dues à des actes visant à frauder, détourner des

biens ou contourner la législation qui implique une personne externe à la banque“(25).

Les risques externes échappent le plus souvent au contrôle interne, cependant il est nécessaire que ces risques soient perçus comme des défis auxquels il doit être fait face sous peine de détruire les performances de la banque. La fraude externe concerne par exemple les hold-up, les faux chèques, le piratage informatique, alors que la fraude interne concerne des faits tels que les détournements de fonds, la falsification de données, etc.… De son coté, L’Institut Français de l’audit et du Contrôle Interne (IFACI) distingue deux types de fraudes selon le bénéficiaire : (26)

- La fraude qui profite à une personne physique mais aussi à l’organisation - La fraude qui profite à une personne physique mais nuit à l’organisation

On peut également distinguer les types de fraude selon les circonstances (27):

- La fraude par « erreur » : l’auteur d’une erreur (par définition commise involontairement), se rend compte qu’elle n’a pas été détectée et l’utilise volontairement afin de tromper, l’erreur est devenue fraude.

- La fraude par « opportunité » : commise suite à un évènement fortuit

indépendant de la volonté de l’auteur.

24 Inernational Federation of Accoutants, ISA 240 « La responsabilité de l’auditeur dans la prise en considération de fraudes dans l’audit d’états financiers », 2006, p. 6 25 J-L SIRGUGUET, E. FERNANDEZ et L. KOESSLER, Op. Cit., p.85 26 Ibidem, p. 43 27 Ibidem, p.145

45

- La fraude préméditée : la fraude est réfléchie, organisée et planifiée à l’avance.

- La malveillance : causée dans l’intention de nuire.

• L’audit interne et la fraude Les auditeurs internes sont le premier rempart contre la fraude de par leurs activités d’audits opérationnels. Ils possèdent l’expérience requise avec l’organisation générale de la banque et seront les mieux placés pour analyser la structure du processus d’activité. Un audit contre la fraude, parfois appelé audit légal, vise l’identification des irrégularités et l’importance des dégâts causés ou potentiels. Un audit contre la fraude en général est une extension de procédures d’audits ordinaires. Deux facteurs importants interviennent dans la décision de procéder à un tel audit :

- le champ potentiel de la fraude - l’entendue possible de la preuve de fraude

En effet, les fraudes qui impliquent d’importantes sommes d’argent avec des preuves insuffisantes justifient plus la nécessité d’un audit que la fraude mineure mais soutenue par beaucoup de preuves. Les audits contre la fraude doivent être menés par des auditeurs ayant reçus une formation particulière dans ce type d’audit car tous les auditeurs ne sont pas qualifiés pour mener un audit contre la fraude. Aux Etats Unis, afin de répondre aux besoins spécifiques d’experts en fraude, des profils spécialisés se sont développés. Les professionnels de la comptabilité et de l’audit qui, après avoir obtenu la qualification de Certified Public Accountant (CPA), se spécialisent dans la lutte contre la fraude. 2 filières existent :

1. L’American College of Forensic Examiner qui forme les Forensic Accountants, comptables « judiciaires » spécialisés dans les investigations financières lors de procès.

2. L’Association of Certified Fraud Examiners qui forme les Certified Fraud Examiner.

46

3. Processus de gestion du risque de Fraude Dans le cas d’une banque, la durée de vie d’une relation client est longue par opposition aux relations commerciales « classiques » qui ne durent qu’un temps relativement court. En effet, pour la plupart des entreprises une relation d’affaire peut se résumer à la négociation, la livraison et au règlement d’un bien ou d’un service en une période restreinte, alors qu’un prêt liera la banque à son client pendant une période de trente ans par exemple. Ce facteur temps amène les banques à intégrer au processus de gestion des risques de fraudes une tâche de surveillance ou contrôle permanent qui est dédiée au service d’audit de la banque. Cependant ce serait une erreur de considérer que cette tâche incombe exclusivement à l’audit, car il est fréquent que les fraudes soient détectées par les employés des services où la fraude est commise et non par les auditeurs. C’est pourquoi, un dispositif anti fraude ne doit négliger aucune source d’information, il est primordial de s’assurer que le signal d’une fraude éventuelle pourra remonter aux personnes concernées par d’autres canaux que celui de l’audit

Appréciation du risque de fraude Puisque la fraude est un phénomène difficile à appréhender, répertorier et quantifier, les outils d’analyse et de gestion développés ci-après seront fatalement axés sur des aspects qualitatifs plutôt que quantitatifs.

a. Analyse du risque de fraude

• Identification et description des principaux risques de fraude

Comme préconisé plus haut, on s’appuiera sur le référentiel de processus existant dans la banque pour établir la cartographie des risques opérationnels. L’établissement d’une liste complète des fraudes potentielles est impossible, mais afin de faciliter la reconnaissance du plus grand nombre de risques possibles liés à l’activité, on peut analyser chaque étape du processus sous la lumière d’une règle de base faisant apparaître trois facteurs dans la naissance d’un risque de fraude :

“Il y a risque de fraude dès lors que sont mis en relation : - L’homme (ses penchants); - La cible (son attrait); - Un environnement ou des circonstances propices.”(28)


47

Voici, à titre d’exemple, quelques risques pouvant être mis en évidence et présentés sous la forme d’un tableau :

Table 8 – Exemples de risque bancaires

Etape processus d’activité Risque Description

Fourniture de produits ou services Fausse facturation Réception d'une fausse facture ou d'une facture falsifiée ou incorrecte (surfacturation)

Reporting d'Audit Falsification de rapport Le rapport mentionne des éléments incorrects

Opérations comptables Disparition des justificatifs l'une des pièces essentielles à la comptabilisation est perdue ou détruite

Opérations comptables Apurement frauduleux d'un suspens un suspens est apuré par un agent pour dissimuler un détournement de fonds à son profit

Opérations comptables Comptabilisation incorrecte d'une opération

erreur de compte, montant, sens, date, etc…

Gestion des crédits Appropriation frauduleuse des avoirs d'un client

détournement de fonds d'un client

Réception information externe Falsification de justificatifs par le client faux avis d'imposition, fausses fiches de salaire, fausses factures, etc…

Analyse des crédits Accord abusif d'un crédit octroi d'un crédit avec par collusion avec le client

Analyse des crédits Refus abusif d'un crédit un crédit est refusé par volonté de nuire

Analyse des crédits Analyse faussée de la situation du client

Dissimulation de justificatifs par l'analyste lors de l'évaluation du risque

Gestion des crédits Dissimulation d'un dossier en situation de risque

Non-dénonciation volontaire d'un dossier en situation de non remboursement

Tenue de comptes Autorisation d'une opération interdite Autorisation d'une opération d'un client sans procuration

Tenue de comptes Falsification de procuration Le client falsifie une procuration pour effectuer des opérations non autorisées

Gestion des autorisations informatiques

Divulgation d'un code d'accès ou d'un mot de passe

clause de confidentialité devant être signée par l'ensemble des collaborateurs à leur entrée dans l'entité

Gestion des applications informatiques

Sabotage du système informatique par une attaque depuis l'extérieur

Implémentation informatique Défaut d'installation d'une protection informatique (anti-virus)

installation insuffisante, non installation, anti-virus inefficace

Gestion des fonds propres Falsification d'une position sur titres le stock de titres sur une valeur est volontairement faussé

Versements Versement d'espèces frauduleux nombre de billets remis incorrect, non correspondance avec la somme déclarée remise

Versements Détournement de fonds transférer de fonds sur un copte fictif

Recrutement Discrimination à l'embauche de candidats

Choix de candidats sur des critères discriminatoires

D’autres exemples tirés de ISA 240 sont repris en Annexe 2

• Mesure du risque de fraude Afin de hiérarchiser les risques, on mettra en place deux échelles, l’une mesurant la gravité des conséquences des risques, l’autre mesurera leur fréquence. La gravité désignera par exemple si un risque est mineur, moyen, important, majeur ou critique :

48

Table 9 - Exemples d’échelle (29)

Echelle

d’impact Criticité de l’impact Exemples

Critique Met en péril la pérennité de la banque

Cessation de paiements Levée d’agrément Refus de certification

Majeur Impact significatif sur les ratios prudentiels Réserves lors de la certification des comptes

Un impact majeur sur le PNB, les résultats, les fonds propres d’une ampleur, les ratios prudentiels

Important Impact affectant de manière significative la rentabilité à court et moyen termes de la banque

Impact important sur le PNB, les résultats, pouvant affecter en conséquence le montant des dividendes distribuables; atteinte sérieuse à l’image et à la qualité du service

Moyen Impact sur les résultats Impact sur le PNB, les résultats, mais non de nature à être ressenti significativement sur les dividendes distribuables

Mineur Impact non détectable à la lecture des comptes annuels

Résidu, pertes inhérentes à toute activité

Selon l’éloquence requise par les circonstances, on comparera cette gravité à différentes références comme les dividendes, le total du bilan ou le résultat, selon que l’on s’adresse aux actionnaires, aux autorités de contrôles ou à un autre public. La fréquence exprime le nombre d’occurrences de la fraude par rapport à une période de temps : nombre de fois par jour, par semaine, par mois, par an. Parmi les risques opérationnels définis par Le Comité de Bale, le risque de fraude peut aussi bien être classer dans la catégorie des risques à impacts critique et fréquence faible que dans la catégorie des risques à impacts mineurs et fréquence forte. En effet, l’histoire nous a appris que les actes frauduleux d’un seul individu peuvent mener à la faillite d’une banque, alors que l’on sait également que les fraudes aux fournitures, par exemple, sont nombreuses en entreprise tout en ayant un impact peu significatif. Le détournement d’actif est le moins dommageable mais le plus courant (63%) des types de fraude (30).

29 J-L SIRGUGUET, E. FERNANDEZ et L. KOESSLER, Le contrôle interne bancaire et la fraude, Paris, Dunod, 2006, p.159 30 Ibidem, p. 26

49

Pour ces raisons, les risques de fraudes recherchés en priorités seront ceux de type impacts critique et fréquence faible. Mais se sont également, par définition, les plus difficiles à démasquer.

b. Quantifier le risques de fraude Pour être complètes les pertes dues à la fraude ne se limitent pas au montant propre de la fraude, mais il faut également tenir compte d’autres débours tels que les frais :

- d’enquête - de recouvrement - de justice - des pertes de productivité dues aux dommages moraux et matériels - etc.…

Le tableau suivant synthétise l’étape d’appréciation telle qu’elle pourrait se présenter sur base du tableau 9.

50

Etape processus d’activité Risque Description Perte Maximale Fréquence / Probabilité Maîtrise Fourniture de produits ou services

Fausse facturation Réception d'une fausse facture ou d'une facture falsifiée ou incorrecte (surfacturation)

1 - Moins de 5.000 euros 1 - Moins d'un cas tous les 5 ans 1 - Efficace

Reporting d'Audit Falsification de rapport Le rapport mentionne des éléments incorrects

1 - Moins de 5.000 euros 1 - Moins d'un cas tous les 5 ans 2 - Acceptable

Opérations comptables Disparition des justificatifs l'une des pièces essentielles à la comptabilisation est perdue ou détruite

1 - Moins de 5 000 euros 1 - Moins d'un cas tous les 5 ans 2 - Acceptable

Opérations comptables Apurement frauduleux d'un suspens un suspens est apuré par un agent pour dissimuler un détournement de fonds à son profit

5 - De 150 000 Euros à 1,5 M Euros 1 - Moins d'un cas tous les 5 ans 1 - Efficace

Opérations comptables Comptabilisation incorrecte d'une opération

erreur de compte, montant, sens, date, etc…

1 - Moins de 5 000 euros 4 - 0 à 10 fois par an 1 - Efficace

Gestion des crédits Appropriation frauduleuse des avoirs d'un client

détournement de fonds d'un client 4 - De 50 000 à 150 000 Euros 1 - Moins d'un cas tous les 5 ans 1 - Efficace

Réception information externe Falsification de justificatifs par le client

faux avis d'imposition, fausses fiches de salaire, fausses factures, etc…

4 - De 50 000 à 150 000 Euros 1 - Moins d'un cas tous les 5 ans 2 - Acceptable

Analyse des crédits Accord abusif d'un crédit octroi d'un crédit avec par collusion avec le client

2 - De 5 000 à 15 000 Euros 2 - Un cas tous les 3 à 5 ans 2 - Acceptable

Analyse des crédits Refus abusif d'un crédit un crédit est refusé par volonté de nuire 1 - Moins de 5 000 euros 2 - Un cas tous les 3 à 5 ans 3 - A renforcer

Analyse des crédits Analyse faussée de la situation du client

Dissimulation de justificatifs par l'analyste lors de l'évaluation du risque

3 - De 15 000 à 50 000 Euros 3 - Un cas tous les 2 ans 2 - Acceptable

Gestion des crédits Dissimulation d'un dossier en situation de risque

Non dénonciation volontaire d'un dossier en situation de non remboursement


Tenue de comptes Autorisation d'une opération interdite Autorisation d'une opération d'un client sans procuration


Tenue de comptes Falsification de procuration Le client falsifie une procuration pour effectuer des opérations non autorisées


Gestion des autorisations informatiques

Divulgation d'un code d'accès ou d'un mot de passe

clause de confidentialité devant être signée par l'ensemble des collaborateurs à leur entrée dans l'entité


Gestion des applications informatiques

Sabotage du système informatique par une attaque depuis l'extérieur 6 - De 1,5 M Euros à 15 M € 1 - Moins d'un cas tous les 5 ans 2 - Acceptable

Implémentation informatique Défaut d'installation d'une protection informatique (anti-virus)

installation insuffisante, non installation, anti-virus inefficace


Gestion des fonds propres Falsification d'une position sur titres le stock de titres sur une valeur est volontairement faussé

6 - De 1,5 M Euros à 15 M € 1 - Moins d'un cas tous les 5 ans 2 - Acceptable

Versements Versement d'espèces frauduleux nombre de billets remis incorrect, non-correspondance avec la somme déclarée remise


Versements Détournement de fonds transférer de fonds sur un copte fictif 6 - De 1,5 M Euros à 15 M € 1 - Moins d'un cas tous les 5 ans 2 - Acceptable

Recrutement Discrimination à l'embauche de candidats

Choix de candidats sur des critères discriminatoires

1 - Moins de 5 000 euros 1 - Moins d'un cas tous les 5 ans 2 - Acceptable

51

Maîtrise du risque de fraude Le risque de fraude ne peut être évité, il faudra le traiter en l’atténuant par les deux voies que sont la prévention et la détection.

c. Prévention de la Fraude La politique de prévention efficace s’articulera toujours autour de l’éthique et d’une organisation claire. En outre on distinguera la prévention interne à la banque de la prévention externe.

• Prévention interne L’aspect éthique visera à sensibiliser le personnel en instaurant par exemple une charte de lutte contre la fraude et en menant une communication continue sur les lois et règlements en vigueur. Le travail sur l’aspect organisationnel consiste en :

- la simplicité et transparence des procédures : plus une organisation est compliquée et diversifie, plus la probabilité de fraude est grande.

- La politique des Ressources Humaines : les politiques des ressources

humaines impliquent le recrutement, la formation, la compensation et la rupture de contrat avec les employés. Ces quatre activités servent de contrôles potentiels pour éviter les détournements d’actifs. La Rotation du Personnel, quant à elle, s’avère être une arme à double tranchant. Certaines banques affectent régulièrement les employés d’une agence à une autre comme mesure de contrôle du risque de fraude. La rotation du personnel permet aux différents employés de discuter avec chaque client ce qui devrait décourager la connivence et éventuellement mettre à jour une fraude antérieure. Cependant, tandis que cela devrait être un moyen efficace de contrôler et de détecter la fraude, il n’est pas recommandé parce qu’il affaiblit la relation entre l’agence et le client. Le banquier doit entretenir des relations étroites et continues avec ses clients pour les fidéliser et les décourager au non remboursement des crédits.

- Les Comités de Crédit : le rôle du comité de crédit ne devrait pas

seulement se limiter à la réduction de risque de crédit mais également à sauvegarder l’intégrité opérationnelle et la stratégie de prévention de la fraude. En effet s’il détecte une tentative de fraude lors de l’étude d’un dossier, il serrait probablement utile de surveiller de plus près le client concerné et ses transactions passées et futures.

- La manipulation de l’argent : étant la principale source de convoitise, la

manipulation des valeurs en espèce devra être réduite autant que possible et son accès limité.

52

• Prévention externe

- Plaintes et suggestions de la clientèle : une autre méthode importante pour détecter la fraude et pour améliorer les services clientèle c’est d’établir un système de plaintes et suggestions en créant un canal de communication pouvant permettre aux clients de donner leurs opinions en les sensibilisant sur leurs droits et devoirs envers leur agence.

- Qualité de portefeuille : un nombre réduit de crédit défaillant est signe

d’un faible risque fraude. Les auditeurs internes procèdent, le plus souvent à un échantillonnage représentatif des clients actifs pour la vérification des soldes des encours de crédits ; ce qui leur permet d'orienter les recherches vers les clients qui semblent douteux.

d. Détecter les signes précurseurs d’une fraude

La détection de fraude est une responsabilité tacite de tout le personnel, du haut de la pyramide au bas de l’échelle, mais également des acteurs extérieurs à la banque. La plupart des fraudes sont découvertes de manière incidente ou fortuite. Les principales circonstances de révélation d’une fraude sont d’abord accidentelles, ensuite viennent les causes dues au changement de management ou à un audit. La détection d’une fraude dépendra de facteurs tels que :

- L’habileté du fraudeur - La fréquence et l’ampleur des manœuvres frauduleuses - Le degré de collusion entourant la fraude - L’importance relative des montants en cause - Le niveau hiérarchique des personnes en cause (31)

• Existe-t-il un profil type du fraudeur ?

Si la réponse était positive, le travail de détection s’en trouverait simplifié et les fraudes maîtrisées. Cependant, sans prétendre tirer un portrait robot type, une enquête de l’Association of Certified Fraud Examiner (ACFE) (32) relève les points communs des personnes qui se sont livrées à des actes frauduleux

31 International Federation of Accoutants (IFAC), ISA 240 « La responsabilité de l’auditeur dans la prise en considération de fraudes dans l’audit d’états financiers », 2006, p.11 32 ACFE, Report to the Nation on Occupational Fraud and Abuse, 2004, In O. GALLET, Halte aux fraudes. Prévenir et détecter les fraudes en entreprise, Paris, Dunod, 2005, p19

53

Il en ressort que :

- La répartition entre hommes et femmes est quasiment identique - Les fraudes sont essentiellement perpétrées par les employés et non par

les managers ou propriétaires

- La plupart des fraudeurs ne sont pas des escrocs professionnels, mais

des personnes « ordinaires » qui franchissent la ligne de l’illégalité poussées par une situation particulière

- Il existe une corrélation directe entre l’ancienneté du fraudeur dans

l’organisation et la fraude, du fait qu’un salarié plus ancien au sein de l’entreprise connaisse mieux les contrôles à déjouer et qu’il ait acquis une certaine confiance des ses supérieurs et collègues.

Par ailleurs, certains comportements sont typiques des personnes ayant commis des fraudes en entreprise, sans pour autant former des indicateurs absolus, comme(33) :

- Le tyran : cultive la peur plutôt que le respect, n’accepte ni critiques ni conseils pour éviter d’être soumis aux mêmes règles et procédures que les autres.

- L’égoïste : recherche le succès à tout prix, égocentrique, plein

d’assurance et narcissique, nourrit un besoin secret d’admiration et d’approbation de la part des autres, est motivé par la peur de l’échec.

- Le maniaque du contrôle : féru de contrôle, refuse de changer ses

méthodes de travail, se fâche lorsque les procédures ne sont pas suivies à la lettre, excessivement défensif ou secret à l’égard de certains aspects de son travail, il croit que certaines tâches relèvent de sa seule et unique responsabilité.

- La souris : employé presque invisible, peu connu de ses collègues, avec

qui il ne se lie pas, et qui ne savent pratiquement rien de sa famille et de son passé ; reste très discret et évite les conflits, semble souvent un employé modèle.


54

En pratique, les signes à surveiller chez les fraudeurs potentiels sont des faits ou circonstances susceptibles de les pousser à transgresser les limites de l’illégalité, comme par exemple (34) :

- La passion du jeu, la toxicomanie, l’alcoolisme - Mener un train de vie supérieur à ses moyens - De fortes tensions financières (divorce coûteux, maladie grave, très fort

endettement) - Tendance à travailler beaucoup, tard le soir, sans prendre de vacances,

de peur que les fraudes soient découvertes - Une trop grande familiarité avec les clients, avec ses supérieurs - Des sautes d’humeurs ou brusques changements de la personnalité - Un grand égoïsme - Un « quant à soi » très affirmé, n’hésitant pas à s’afficher : certains

individus veulent toujours montrer qu’ils sont les plus forts - Une frustration (absence de promotion, d’augmentation, de considération,

etc.) - Une tendance forte à la jalousie - L’aversion de la bureaucratie

• Les moyens d’action du fraudeur

Pour parvenir à ses fins, le fraudeur utilisera des manœuvres bien définies pour poser des actes frauduleux Les manœuvres les plus fréquentes sont :

- La fausse identité ou fausse qualité : contrefaçon de documents officiels - Le détournement d’informations : détournement de clientèle, délit d’initié,

chantage - Le détournement de transactions : caissier encaissant sur son propre

compte, trader utilisant les fonds de l’entreprise pour son compte personnel

Quatre grands types d’actions frauduleuses (35) :

- Opérations irrégulières ou illégales : vente de biens fictifs, pots de vins, ristourne clandestines

- Transformation d’une situation dans le but d’améliorer fictivement ou tendancieusement une présentation d’information : « amélioration » d’une situation comptable non-conforme à la réalité économique d’une organisation

- Opérations dangereuses exposant l’entreprise à des risques inconsidérés : prises de positions excessives ou mal couvertes.

34 J-L SIRGUGUET, E. FERNANDEZ et L. KOESSLER, Op. Cit., p. 35 35 Ibidem p. 43

55

- Opérations occultes : toutes les opérations effectuées par les collaborateurs de la banque pour leur compte personnel et non enregistrées en comptabilité.

• Quels sont les indicateurs de la fraude ?

Les indicateurs de fraude potentielle sont essentiellement des écarts, positifs ou négatifs, d’éléments quantitatifs (chiffrés) ou qualitatifs (comportement, secteur d’activité du client, rumeurs, …) par rapport à un référentiel fixé. Ces éléments proviennent des recensements des opérations, incidents ou anomalies enregistrés par la banque. Par exemple le nombre, la fréquence et la gravité des :

- Dépassements de limites - Délais non respectés - Dysfonctionnement du matériel informatique

• Mesures conservatoires d’urgence

Si la banque découvre une fraude, elle exécutera les procédures destinées à limiter les dégâts et contrôler les dommages. Pour que cela se fasse immédiatement il aura fallu concevoir des plans de contentieux préétablis qui prévoient notamment la manière de réagir :

- Quelles mesures de conservation matérielle (espèces,…), ou

immatérielle (informatique, accès aux données) à déployer d’urgence ? - Faut-il communiquer sur la fraude détectée, sur quels éléments et à qui

communiquer ?

- Quelles mesures prendra la banque contre l’auteur (rupture du contrat, procédure légale) ?

- Quelle approche adoptera la banque envers les clients victimes ?

Contrôle et amélioration du processus Le travail de l’audit opérationnel implique également la mesure de la qualité des actions de prévention, la révision de toutes les activités opérationnelles, procédures et processus, ainsi que l’identification des besoins de formation du personnel. L’objectif principal est de réajuster le système et l’organisation de l’institution afin de limiter voire éliminer le risque identifié.

56

• Reporting Il est important que le département d’audit rende compte directement au conseil d’administration (ou au comité d’audit du conseil d’administration) et non pas à la direction. Sans assez d’indépendance vis-à-vis de la direction, les auditeurs ne pourraient pas faire une révision objective sur les opérations totales de la banque. En rendant compte directement au conseil d’administration, cela implique le conseil d’administration dans la procédure d’audit.

57

Questionnaire relatif à l’analyse

Conclusion Les risques sont inhérents aux activités bancaires, et si les risques de crédit et de marché peuvent être modélisés et cernés, il n’en va pas de même pour les risques opérationnels et particulièrement pour la fraude. Cette dernière est évolutive et couverte par des manœuvres destinées à la camoufler ce qui en fait un risque dont les formes les plus dommageables entrent dans la catégorie des risques à impact critique et fréquence faible. Cette caractéristique ne permet d’autre analyse et gestion que celles basées sur des aspects qualitatifs des processus d’activité étudiés. En effet, ne pouvant être éliminé, ce risque devra être traité en mettant en place un dispositif axé sur la prévention et la détection. Toutefois, et on en revient à la nature même de la fraude, le fraudeur possède toujours une longueur d’avance sur les moyens de lutte qui lui sont opposés et aucun dispositif ne permettra d’obtenir l’assurance absolue que le risque soit prévenu ou détecté. Les scandales financiers que l’histoire a connus ne seront donc pas les derniers, ceci semble par contre être une vérité absolue.

58

Références bibliographiques

- A. CHAPELLE, G. HUBNER, J-Ph. PETERS, Le risque opérationnel. Implications de l’accord de Bâle pour le secteur financier, Bruxelles, DeBoeck & Larcier, 2005, 208 p. - B. COUGNAUD, L’Univers des risques en finance. Un équilibre en devenir, Paris, Presses de la fondation nationale des sciences politiques, 2007, 280 p. - P-A. DELHOMMAIS, Cinq milliards en fumée, Paris, Editions du Seuil, 2008, 202p. - O. GALLET, Halte aux fraudes. Prévenir et détecter les fraudes en entreprise, Paris, Dunod, 2005, 199 p. - « Gestion du risque », Association Suisse pour Systèmes de Qualité et de Management (SQS), édition octobre 2006 - J. HULL, Ch. GODLEWSKI, M. MERLI, Gestion des risques et institutions financières, Paris, Pearson Education France, 2007, 448 p. - J-L SIRGUGUET, E. FERNANDEZ et L. KOESSLER, Le contrôle interne bancaire et la fraude, Paris, Dunod, 2006, 278 p. - P. VERNIMMEN, Finance d’entreprise, Paris, Edidtions Dalloz, 6e édition, 2005, 1112 p. Normes : - Comité de Bâle sur le contrôle bancaire, « Convergence internationale de la mesure et des normes de fonds propres », Banque des Règlements Internationaux (BRI), Bâle, 2004, 216p. - Federation of European Risk Management Associations (FERMA), « Cadre de référence de la gestion des risques », Bruxelles, AIRMIC, ALARM, IRM, 2003, 16p. - Guide 73. Risk management , vocabulary , guidelines for use in standards. International Organization for Standardization, Geneva, ISO/IEC, 2002, 16p. - Inernational Federation of Accoutants (IFAC), ISA 240 « La responsabilité de l’auditeur dans la prise en considération de fraudes dans l’audit d’états financiers », 2006, 67p. Internet : - www.riskosoft.com - www.marches-financiers.net

59

Annexe 1

60

Les grands scandales récents (36)

• Décembre 2001, faillite d'Enron le courtier en énergie, 7e groupe privé aux Etats-Unis. Pertes inattendues (Unexpected Losses): Cinq mille six cents licenciements, 68 milliards de capitalisation boursière, dont le capital retraite de 20 000 salariés, automatiquement placé en actions du groupe. • Juin 2002, accusé d'avoir fait transiter "des centaines de millions de dollars" vers des sociétés appartenant à sa famille le PDG de Tyco démissionne, (Tyco est l'une des 20 premières entreprises des Etats-Unis en termes de capitalisation boursière). Pertes inattendues (Unexpected Losses) : vingt-sept milliards de dollars de dettes. • Eté 2002, Wolrdcom, l'opérateur téléphonique, employant 80 000 employés, a dissimulé 3,8 milliards de dollars de dépenses ou de pertes sur ses comptes. Pertes inattendues (Unexpected Losses) : 30 milliards de dollars de dette ; dix sept mille licenciements. • Février 2003, le titre du groupe néerlandais Ahold, n° 3 mondial de la distribution, s'effondre. Pertes inattendues (Unexpected Losses) : malversations comptables portant sur 500 millions d'euros. • Décembre 2003, faillite du groupe italien agroalimentaire Parmalat, n° 1 sur le marché mondial du lait longue conservation. Pertes inattendues (Unexpected Losses): une dette de 14,5 milliards d'euros et la ruine de plus de 110 000 petits épargnants qui avaient acheté des actions ou des obligations du groupe. • Décembre 2003, Crédit Lyonnais : accord entre la justice américaine et la partie française dans l'affaire Executive Life, une suite des nombreux scandale du Crédit Lyonnais. Pertes inattendues (Unexpected Losses) : 770 millions de dollars, dont 470 pour les contribuables français (l'Etat), 100 millions pour le Crédit Lyonnais, 185 millions pour le groupe Pinault. • Septembre 2007- Bourse de Londres, l'action de la Northern Rock perd de 30% de sa valeur ; ses concurrentes ne voulant plus lui prêter d'argent, la Banque d'Angleterre avait dû lui venir au secours. Perte inattendue (Unexpected losses): - Environ un milliard de livres (1,5 milliard d'euros) auraient été retirés de l'établissement dans la seule journée de vendredi, soit 4 ou 5% de la totalité des dépôts détenus dans la banque par son million et demi de clients ; - La bourse de Tokyo a chuté de 2% cette nuit en Asie, baisse principalement due à la baisse des valeurs bancaires et financières. - La livre sterling continue d'être sous pression à 1,9890 contre le dollar, 2,3630 contre le franc suisse et 228,50 contre le yen. - Les banques espagnoles sont secouées par l'affaire Northern Rock. Pertes 36 Source : www.riskosoft.com

61

inattendues (Unexpected losses): Banco Pastor 9,69%, BankInter 5,66%, Banesto 3,81% et Banco Popular 3,32% ; des banques plus importantes BBVA et Santander ont cédé respectivement 2,13% et 1,64%. • Septembre 2007- Calyon, la banque d'investissement du Crédit agricole subi une perte inattendue (Unexpected losses) de 250 millions d'euros sur le marché américain, du fait d'un seul trader (Un seul !) installé à New York, qui aurait sans contrôle pris des positions risquées sur certains indices du marché du crédit à travers des produits dérivés : cette perte sera intégralement prise en compte dans les résultats du troisième trimestre, c'est-à-dire ajoutée aux pertes attendues (écarts des comptes de résultat) au détriment des actionnaires qui la paieront sur leurs les dividendes attendues.

62

Annexe 2

La responsabilité de l'auditeur dans la prise en considération de fraudes dans l'audit d'états financiers

240 CNCC-IRE/CC-DSCH/acs/Version 30 juin 2006 57/67

Copyright IFAC

Annexe 2

Exemples de procédures d'audit possibles en réponse aux risques identifiés d'anomalies

significatives provenant de fraudes

Les exemples qui suivent décrivent les procédures d'audit répondant au risque identifié

d'anomalies significatives provenant de fraudes résultant soit d’ informations financières

mensongères ou de détournement d'actifs. Bien que ces procédures couvrent un large éventail

de situations, elles ne reflètent que des exemples et, par voie de conséquence, peuvent ne pas

être les mieux appropriées, voire nécessaires, dans chaque cas particulier. De même, l'ordre

dans lesquelles elles sont décrites n'a pas pour but de refléter leur importance relative.

Prise en compte du risque au niveau des assertions

Les réponses spécifiques à apporter par l'auditeur suite à son évaluation des risques

d'anomalies significatives provenant de fraudes varieront selon les types de facteurs de risques

de fraudes, leur imbrication ou les circonstances identifiées, les soldes de comptes concernés,

les flux d’opérations, ainsi que les assertions qui peuvent être concernées.

La liste suivante donne des exemples spécifiques de réponses répondant à ces risques:

- visite des sites ou mise en en œuvre de certains tests sur une base surprise ou non

planifiée. Par exemple, observation de la prise d'inventaire physique dans des sites

pour lesquels l'auditeur n'avait pas annoncé sa visite, ou comptage de la caisse à une

date précise sur une base surprise.

- demande pour que la prise d'inventaire physique soit effectuée à la date de clôture ou à

une date proche de la clôture pour réduire le risque de manipulation des mouvements

entre la date de fin de comptage et la date de clôture.

- modification de l'approche d'audit au cours de l'exercice sous contrôle. Par exemple,

confirmation verbale des clients et des fournisseurs en complément des confirmations

écrites adressées, envoi de demandes de confirmations à des tiers spécifiques à



Copyright IFAC

l'intérieur d'une organisation identifiée, ou obtention d'informations complémentaires

ou différentes de celles habituellement demandées.

- revue détaillée des écritures d'inventaire de fin de trimestre ou de fin d'exercice et

examen de celles qui apparaissent inhabituelles quant à leur montant ou leur nature.

- examen, pour les transactions significatives ou inhabituelles, notamment celles

enregistrées à la clôture ou à une date proche de la clôture, de celles réalisées avec des

parties liées et de leur source de financement permettant de les justifier.

- mise en œuvre de contrôles analytiques de substance sur une base déconsolidée. Par

exemple, comparaison des ventes et du coût des ventes par site, par ligne de produits

ou par mois par rapport aux attentes de l’auditeur.

- entretiens avec le personnel dans les secteurs de l'entité où un risque d'anomalies

significatives provenant de fraudes a été identifié, pour obtenir leur point de vue sur le

risque et si, ou comment, les contrôles permettent de répondre à ce risque.

- lorsque d'autres auditeurs interviennent pour l'audit des états financiers d'une ou

plusieurs filiales, divisions ou succursales, entretiens avec ceux-ci de l'étendue des

travaux nécessaires pour répondre au risque d'anomalies significatives provenant de

fraudes relatives à des opérations ou des activités entre ces sociétés intra-groupe.

- lorsque le recours à un expert devient particulièrement important pour un poste des

états financiers sur lequel un risque d'anomalies significatives provenant de fraudes est

jugé à un niveau élevé, examen approfondi de certaines ou de toutes les hypothèses

retenues par l'expert, les méthodes utilisées et les résultats, pour apprécier le caractère

raisonnable de ceux-ci, ou pour décider de demander l'avis d'un second expert dans ce

but.

- mise en œuvre de procédures d'audit pour analyser des postes des états financiers

d'ouverture précédemment audités afin de revoir comment certaines questions

relatives à des estimations comptables faites à la clôture précédente ou empruntes de



Copyright IFAC

jugement, par exemple des estimations de retours marchandises, se sont dénouées au

cours de l'exercice.

- vérification d'analyses de comptes ou autres rapprochements préparés par l'entité, y

compris ceux pouvant avoir été faits à des dates intercalaires durant la période.

- mises en œuvre de techniques assistées par ordinateur, telle que la recherche

d'éléments dans une population en vue de les vérifier pour détecter des anomalies.

- tests de la fiabilité des documents produits par l'informatique ou des transactions

informatisées.

- obtention d'éléments probants complémentaires de source externe à l'entité contrôlée.

agnaou

Documents

gestion du risque operationnel

traitement du risque

processus de gestion

risque oprationnel

risque de march

milieu bancaire

matires table

revue du processus