Secteur bancaire : La gestion des risques, une priorité absolue

La tendance en finance internationale est à la faveur de la mise en place de fonctions de gestion des risques. Un processus en quatre étapes.

Ce ne sont pas moins de 500 banques aux États-Unis et près de 30 en Europe qui ont fait faillite entre 2007 et 2014, pour différentes raisons, principalement les marchés financiers et la crise de la dette européenne. Des chiffres qui démontrent l’importance du rôle de la gestion des risques dans les banques et le secteur plus généralement, selon des experts nationaux et internationaux intervenant lors du Securisk Africa Forum tenu les 24 et 25 février derniers à Casablanca. Le forum scientifique s’est, en effet, proposé de dresser un état des lieux des principaux risques, notamment ceux liés à la finance. Des experts reconnus, des risk managers et des opérateurs et des fournisseurs de matériels, de contenu et de solutions ont ainsi partagé leur vision sur le sujet. Après une première époque marquée par la prééminence de la fonction commerciale, appelée «Exploitation» dans le jargon bancaire, est venue une deuxième ère (les années 90) caractérisée, elle, par la suprématie des activités de marché. La crise des «subprimes» a marqué un nouveau tournant pour le secteur bancaire. Ainsi, depuis 2008, la tendance en finance internationale est à la faveur de la mise en place de fonctions de gestion des risques, érigée aujourd’hui en pôle direction. Les récents déboires de BNP Paribas avec les autorités américaines au sujet de violations d’embargos contre l’Iran, Cuba et le Soudan sont venus renforcer cette position. Pour rappel, l’affaire a coûté au groupe bancaire français pas moins de 9 milliards de dollars d’amendes et le poste de son président. D’ailleurs, les activités de gestion des risques sont le fondement même des nouvelles réglementations dites Bâle II et Bâle III, qui ont mis en en place des systèmes complexes d’exigences de fonds propres des banques, en fonction de leur exposition aux différents risques.

Le cas marocain
La même tendance a été observée au niveau du secteur bancaire marocain. Il est d’ailleurs utile de noter que la montée du coût du risque n’est pas totalement étrangère à cette orientation. On apprend, à ce titre, que le secteur bancaire marocain est essentiellement caractérisé par le risque de crédit; en d’autres termes, le risque que l’emprunteur ne rembourse pas sa dette à l’échéance fixée. Ce dernier entre, en effet, pour 85% dans la composition des risques encourus par les banques marocaines, à en croire Adil Ouazzani, Head of Risk Management Systems chez Attijariwafa bank.

D’autres risques contraignent l’activité des banques, à savoir le risque de marché, le risque de concentration (des encours de la banque sur une contrepartie, un groupe ou un secteur), le risque de liquidité, le risque de taux, lié à une variation défavorable du taux qui peut occasionner une dépréciation du portefeuille de la banque, et enfin le risque opérationnel, dû à une défaillance des systèmes, des procédures ou des hommes. «Quel que soit le type de risque, la démarche universelle pour la gestion des risques, issue de plusieurs référentiels, notamment le COSO, se décline en quatre étapes», souligne Adil Ouazzani. Selon ce dernier, il s’agit d’abord d’identifier les risques à travers des cartographies avant d’analyser et de mesurer ces derniers.

Retour d’expérience
«Généralement, la notion la plus courante est celle de fréquence et de gravité du risque», explique Ouazzani. Ensuite, il faudra traiter ce risque. À ce niveau, le risk manager peut adopter quatre attitudes. Soit il l’accepte, soit il l’élimine; il peut aussi l’intégrer ou encore le piloter. La dernière étape de la démarche de gestion des risques consiste, elle, en l’action de surveillance en continu. Par ailleurs, il faut garder en tête que l’implémentation d’un système de gestion des risques est un processus long. «Les banques françaises ont mis 30 années à implémenter leurs systèmes de risk management. Il faut donc entre 7 et 10 ans en moyenne pour réussir cette implémentation», affirme le cadre bancaire. Également, selon ce dernier, il est primordial d’investir pour constituer le pôle de compétence car l’externalisation n’est pas une réponse, mais elle reste la bienvenue pour des sujets de niche. Il faut également investir dans les équipements en interne car il est important d’avoir les ressources solides qui portent le modèle de gestion des risques.

Et la gestion d’actifs?
Les experts du Securisk Africa Forum se sont également penchés sur la question de la gestion des risques en Asset Management, au vue de ses spécificités. «Certes, le risque est défini par la possibilité de perte, mais dans la gestion d’actif, l’absence de risque implique à son tour une absence de rendement. Il s’agit de trouver un point d’équilibre permanent entre une prise de risque et une rentabilité», a souligné à cet effet Karim El Hnot, directeur général de Sogécapital gestion. De ce fait, certains risques sont considérés comme des actifs puisque de leur connaissance et maîtrise découle le métier de gérant d’actifs. Il s’agit d’identifier, comprendre et contrôler les risques de sorte à minimiser les pertes non anticipées et à optimiser le couple rendement/risque. De ce fait, la gestion des risques chez un asset manager doit se faire à deux niveaux: au niveau de la société de gestion et au niveau des portefeuilles gérés. S’agissant de la nature des risques liés à l’activité de la gestion d’actifs, ils sont nombreux et souvent interdépendants. Néanmoins, ils peuvent être classés en 3 familles de risque à savoir les risques liés à la gouvernance, les risques d’investissement et les risques opérationnels.

Indispensable bonne gouvernance
«Une bonne gouvernance est le principal axe permettant de gérer efficacement les risques chez un asset manager et une gouvernance efficace commence par une séparation claire entre les personnes qui agissent sur le marché (les gérants), la fonction commerciale et les opérations (middle et back office)», explique Karim El Hnot. Une importance stratégique doit ainsi être donnée au risk manager dans le sens où celui-ci doit être indépendant, expérimenté (ancien gérant par exemple) et idéalement faire partie du COMEX (Chief Risk Officer). L’indépendance dans la prise de décision permet de minimiser les situations de conflits d’intérêts. Aussi, un asset manager gère pour le compte de tiers. De ce fait, les intérêts du client priment sur toute autre considération. Il est aussi important d’avoir des procédures écrites claires et suivies. «In fine, une gouvernance appropriée vise à mettre en place une «culture risque» où toutes les personnes dans l’entreprise prennent en considération l’aspect risque dans leur travail au quotidien», résume El Hnot.

Complexité des risques d’investissement
Concernant les risques d’investissement, ils sont évolutifs et de plus en plus complexes. La réglementation impose de suivre un certain nombre de risques d’investissement tels que la concentration (ratio émetteur), la classification (pourcentage par classe d’actifs), la sensibilité au risque de taux… «Les mesures réglementaires sont nécessaires mais insuffisantes. Leur calcul se fait au niveau du portefeuille uniquement. Les risques d’investissements sont plus nombreux et plus complexes. Ils doivent souvent être appréhendés au niveau consolidé de l’ensemble des portefeuilles», souligne l’expert. De son côté, la performance doit être mesurée, suivie et analysée. Les modèles de risques doivent être calibrés et revus périodiquement. En effet, le risk manager doit utiliser plusieurs modèles mais également sa connaissance intuitive des marchés.

Il faut bien analyser les risques cachés. Dans le contexte marocain, ce sont principalement les risques de liquidité et de crédit. «Ces derniers sont particulièrement difficiles à suivre vu le manque d’informations quantitatives en ce qui les concerne», confie l’expert. Enfin, les méthodes de valorisation doivent être robustes et revisitées ponctuellement, sans oublier l’effet liquidité sur les prix. S’agissant des risques opérationnels, il s’agit toujours de la catégorie de risques la plus connue. C’est celle qui n’apporte aucune performance incrémentale. Selon notre expert, la maîtrise des risques opérationnels passe par un système d’informations robuste, l’existence de procédures opérationnelles, ainsi qu’un personnel expérimenté et en nombre suffisant. Existence de systèmes de back-up informatique, plan de continuité d’activité… l’organisation doit pouvoir apprendre de ses erreurs. Ces dernières doivent être reportées et documentées, et les procédures amendées pour que les erreurs soient évitées dans le futur.