Nous avons choisi de consacrer le présent dossier à des risques à la fois quotidiens et sous-estimés : les risques opérationnels. De quoi s’agit-il ? Selon la définition de la directive Solvabilité II, le risque opérationnel est « le risque de perte résultant de procédures internes, de membres du personnel ou de systèmes inadéquats ou défaillants, ou d’événements extérieurs ».

Nos auteurs tirent immédiatement plusieurs enseignements de cette définition :

  • Le risque opérationnel est « subi », « diffus », « inhérent à tous les produits, activités, processus et systèmes d’une organisation », nous dit Dan Chelly.
  • Il est « insidieux », « multiforme » et « peut être catastrophique », ajoute Daniel Zajdenweber ; en m’inspirant de la citation de Romain Gary placée en tête de l’article que je cosigne avec Emmanuel Ruffin : c’est un « monstre invisible » qu’il faut « apprendre à flairer » !
  • Il fait partie du quotidien, il doit donc être « l’affaire de tous », dis-je avec Emmanuel Ruffin.

Tous nos auteurs soulignent l’importance de faire naître une « culture du risque » dans l’entreprise, car « l’exposition au risque opérationnel est difficile à plafonner et à couvrir totalement », nous indique Dan Chelly. Citant l’exemple de l’affaire Kerviel (fraude interne associée à un mouvement de marché), il montre que « la perte de 4,9 milliards d’euros par la Société générale en 2008, sur un seul et même événement, est bien supérieure à la somme de fonds propres alloués au titre de l’ensemble des risques opérationnels sur une année ».Et de conclure : « Les fonds propres ne peuvent jamais être suffisants si les dispositifs de sécurisation de l’activité placés en face ne sont pas suffisamment robustes. »

Daniel Zajdenweber le suit dans cette voie. Il nous démontre qu’il est fort peu probable que l’on puisse s’assurer contre de tels risques, en s’appuyant sur des statistiques bancaires. Pour longtemps encore, « la solvabilité des banques confrontées au risque opérationnel continuera de reposer sur leurs capitaux propres et sur leurs politiques de prévention des risques ».

Nicolas Guillaume s’attaque à cette dernière question en s’interrogeant sur la « coopération des acteurs clés » dans l’entreprise. Car au fond beaucoup d’acteurs peuvent avoir le sentiment d’agir pour réduire les risques opérationnels : la direction des risques, quand elle existe, mais aussi le contrôle interne, la direction qualité, sans oublier le secteur de la sécurité. Devant cet afflux de « responsables », un vrai danger naît du constat d’« un net décrochage des équipes opérationnelles dans la compréhension et donc dans l’appropriation de cette problématique ». La clé du succès reposera sur « la capacité du management intermédiaire à s’approprier les mesures » de contrôle. L’auteur observe que la gestion des risques opérationnels est devenue « une composante à part entière du rôle de manager ».

Trois contributions venant d’entreprises d’assurance nous montrent comment les acteurs s’y prennent concrètement.

Patrick Saint-Maxent nous explique comment le dispositif de contrôle des risques opérationnels a été mis en place chez AG2R La Mondiale. Il rappelle les procédures devenues familières ces dernières années : cartographie des risques, examen du reporting consolidé, examen des incidents, correspondants risques opérationnels, etc. D’une manière originale, il souligne la convergence des démarches « risques » et « qualité » : « Deux dynamiques parallèles sont mises en œuvre et partagent une même finalité : la maîtrise des activités. Ceci avec deux objectifs : la satisfaction du client, d’une part, la conformité des produits et la sécurité des opérations, d’autre part. »

Dorothée de Kermadec nous relate l’expérience de la CNP et nous montre l’ampleur de la tâche : « 1 760 risques inhérents (…) (dont 34 % élevés ou critiques), plus de 2 500 contrôles opérant en 2011 »… Elle aussi insiste sur la nécessité de « faire progresser la culture risques dans l’entreprise : objectiver les faits, envisager les impacts, identifier les causes, (…) engager la réflexion sur la “remédiation” ». Cependant, il serait illusoire de prétendre que tout est maîtrisé : « Il ne s’agit pas de certifier que tout risque est évité, nous dit-elle, mais d’assurer que les causes internes de dysfonctionnement sont sous contrôle et que, en cas de survenance du risque, les procédures d’alerte et de gestion sont en place et fonctionnent. »

Enfin, avec Emmanuel Ruffin, nous présentons ce qui a été mis en place à la Matmut et nous interrogeons, comme Nicolas Guillaume, sur la recherche du « juste équilibre entre la responsabilisation des équipes opérationnelles et les mécanismes de reporting et de contrôle ». Nous croyons dans l’utilité des « dispositifs de cartographie des risques, démarche qualité, collecte des incidents, plans de continuité, etc., (…) mais à condition de ne pas perdre de vue qu’ils ne sont que des outils et non une fin en soi. Dans l’analyse des risques encourus par l’entreprise d’assurance, rien ne remplacera jamais le bon sens et la connaissance du métier. »

Les assureurs et les banquiers évoluent dans un monde à la complexité croissante, la crise que nous vivons depuis 2007-2008 nous le montre ô combien. Nul doute qu’il y a autour d’eux beaucoup de « monstres invisibles » qui rôdent, et qu’il faudra toujours beaucoup de « flair » aux équipes chargées des risques opérationnels pour les éviter.