Initialement basées sur une approche purement financière des risques, ces recommandations ont été profondément étendues en 2004 via l'accord Bâle II, applicable dès fin 2006. Transcrit depuis en droit communautaire et national, cet accord est d'application obligatoire dans tous les pays industrialisés : en pratique, ces recommandations sont mises en oeuvre par l'immense majorité des établissements financiers au niveau mondial.

Les trois piliers du dispositif et la notion de risque opérationnel

L'accord Bâle II définit trois obligations ou « piliers » qui s'imposent aux établissements financiers :

• Une exigence de fonds propres adaptés aux risques pris dans le cadre de leurs activités : risque de crédit (non remboursement), risque de marché (variations de taux d'intérêt, de change, etc.) et risque opérationnel (détaillé ci-dessous).
• Un pouvoir de supervision et de contrôle renforcé pour les autorités (en France, essentiellement la Commission Bancaire).
• La publication d'informations très complètes sur les méthodes de gestion des risques implémentées.

L'innovation majeure de ce nouvel accord par rapport à celui de 1988 tient à l'introduction du risque opérationnel, recouvrant les risques relatifs à la sécurité des biens et des personnes (incendies, vol et fraude, etc.), les risques informatiques (développement, maintenance et exploitation des systèmes) et les risques liés aux procédures de gestion interne (erreurs humaines, malveillance, etc.). Différentes approches sont possibles pour évaluer ce risque opérationnel, mais la plus performante est basée sur l'historique des événements et des pertes associées : un modèle précis et documenté doit alors être développé.

Les impacts concrets sur les Systèmes d'information

De façon générale, le SI est lui-même une source de risque opérationnel qu'il convient de limiter : de façon analogue aux règlementations liées au contrôle interne (Sarbanes Oxley) et à leurs déclinaisons informatiques (modèles CoBIT et ITIL), Bâle II déclenche de nombreux projets portant notamment sur la gestion des identités (IAM) et la continuité d'activité (PCA).

De manière plus spécifique, Bâle II impose une adaptation significative du SI (cf. schéma), visant à permettre l'alimentation et la maintenance du modèle de risque opérationnel (collecte, conservation et analyse des données), et la production d'un reporting adapté.

Ces adaptations sont à l'origine de trois grands types de projet au sein des établissements financiers :

• Évolution de l'architecture logicielle du SI, qui doit être revue afin de permettre la consolidation d'informations provenant de SI hétérogènes (datawarehouses).
• Évolution des infrastructures du SI afin de permettre le stockage, la conservation et le traitement complexe de volumes de données importants.
• Mise à niveau du contrôle interne informatique : politique de sécurité, ITIL, etc.

L'accord Bâle II vise à mettre sous contrôle l'ensemble des risques auxquels sont soumis les établissements financiers, et non plus seulement les risques financiers directement liés à leur activité. Tout en restant spécifiquement adapté au secteur bancaire, et notamment à sa grande maturité en matière de gestion des risques, il se rapproche ainsi de réglementations plus génériques comme la loi Sarbanes-Oxley.

En savoir plus

Qu'est-ce que le comité de Bâle ?
Créé en 1974, il regroupe les représentants des banques centrales, et des organismes de réglementations et de surveillance bancaire des pays du G10. Sans pouvoir officiel contraignant, il est néanmoins la principale instance d'établissement des normes et recommandations liées à la surveillance prudentielle des activités bancaires.

Dates clés

• 1988 : Accord de Bâle sur les fonds propres : notion de ratio prudentiel
• 2004 : Nouvel accord étendu (Bâle II), intégrant désormais trois piliers
• 2005 : Transcription en droit communautaire (New Capital Adequacy Directive
• Fin 2006 : Application du nouvel accord

Définition du risque opérationnel
Le risque opérationnel se définit comme le risque de pertes résultant de carences ou de défaillances attribuables à des procédures, personnels et systèmes internes ou à des événements extérieurs.

Quelques sites d'informations
www.baselalert.com  
www.bis.org
www.basel-ii-risk.com
www.fermat.fr  

Solucom en bref
Acteur dans le domaine des infrastructures de système d'information, le Groupe Solucom conseille les DSI des grandes entreprises pour élaborer leur stratégie sur ce thème, concevoir le design des solutions et garantir la gouvernance de leurs infrastructures. Le Groupe conseille également les opérateurs télécoms et médias pour définir leur stratégie en matière d'offres et services innovants.
Site : http://www.solucom.fr/index/index.php

Source : http://www.itchannel.info