Le présent document est une proposition de traduction des principes d’une saine gestion du risque opérationnel, document émis par le Comité de Bâle en mars 2021[1]. Dans le monde francophone, ce document vient en complémentarité avec l’arrêté du 25 février 2021. Certains sujets deviennent des incontournables :
- L’implication de plus en plus forte des instances délibérantes sur les enjeux de risque opérationnel ;
- Les responsabilités réaffirmées du top management et la nécessité de savoir rendre-compte de ses responsabilités ;
- L’importance du cadre d’appétence au risque et les niveaux de tolérance définis et approuvé, ce qui suppose un suivi efficace du profil de risque de l’établissement ;
- Les enjeux liés à l’externalisation, aux systèmes d’information, à la continuité d’activité ;
Permettant ainsi de réaffirmer l’importance des filières risques opérationnels, de la qualité des dispositifs mis en place, de l’adéquation des ressources et du pilotage via des indicateurs adaptés.
Pourquoi une évolution des Principes d’une saine gestion du risque opérationnel ?
Les objectifs de révision de ces principes sont principalement :
- D’adapter le cadre aux enjeux actuels et prendre en compte les retours d’expérience ;
- De mieux prendre en considération les risques frontières avec le crédit et les activités de marché ;
- De mieux appréhender les évolutions des contextes et notamment les risques liés aux technologies de l’information et de la communication (TIC) ;
- De faciliter la cohérence avec le nouveau cadre du risque opérationnel prévu par les réformes de Bâle III.
Ces orientations supplémentaires sont ainsi nécessaires pour faciliter la mise en œuvre des principes d’une saine gestion dans des environnements perturbés par des facteurs externes tels que la pandémie, les catastrophes naturelles, les incidents récurrents en matière de cybersécurité et les dysfonctionnements potentiels liés aux systèmes d’information. Les orientations présentées dans le document de l’ABE s’articulent autour des éléments-clés d’un dispositif adapté, à savoir :
- Les modalités d’appréciation des risques et de pilotage :
- Outils d’identification et d’évaluation des risques, y compris les auto-évaluations des risques et des contrôles (RCSA), les indicateurs de risque clés, les données sur les pertes externes, la cartographie à partir des processus liés au Business Model, l’analyse comparative et le suivi des plans d’action générés par les diverses activités opérationnelles ;
- Les modalités de prise en compte de la gestion du changement (et leur suivi effectif) dans les mises à jour du cadre de gestion du risque opérationnel.
- La mise en œuvre effective des trois lignes de défense (maîtrise), notamment en affinant l’attribution des rôles et des responsabilités ;
- La surveillance par le conseil et les organes exécutifs ;
- L’articulation entre l’appétit pour le risque opérationnel et les déclarations de tolérance au risque ;
- L’information et la communication sur les risques.
Les principes présentés dans ce document couvrent les enjeux de gouvernance, d’environnement de gestion du risque, les technologies de l’information et de la communication (TIC), le plan de continuité des activités et le circuit d’information et de communication. Ces enjeux sont des composantes essentielles du Cadre de Gestion du Risque Opérationnel (CGRO) et du cadre global de gestion du risque (y compris la résilience opérationnelle) des établissements.
Bien évidemment, ce cadre doit prendre en compte la nature, la taille, la complexité et le profil de risque des activités de l’établissement.
[1] Revisions to the Principles for the Sound Management of Operational Risk – March 2021.
[2] NB : Ce document est une traduction libre du texte initial. Il essaye néanmoins d’en retranscrire le sens principal. La numérotation ne suit pas exactement celle du document initial.