Aspects juridiques liés à la fonction et risques opérationnels


                  ·  L’assurance est fournie par un tiers indépendant. Dans le cas des assurances émanant
                     de sociétés captives ou de filiales, l’exposition doit avoir été transférée  (par le biais de
                     la  réassurance,  par  exemple)  à  une  entité  indépendante  répondant  aux  critères
                     d’éligibilité.
                  ·  Le  dispositif  de  prise  en  compte  de  l’assurance  est  solidement  argumenté  et  bien
                     documenté.

                  ·  La  banque  communique  une  description  de  son  usage  de  l’assurance  aux  fins
                     d’atténuation du risque opérationnel.

               e. Mise en place d’un système de collecte des incidents

               Cette cartographie des risques opérationnels ne peut être complète si elle n’intègre pas les
               bases de données de pertes internes et externes et l’analyse des scénarios.

               A titre de rappel, le comité Bâlois exige que l’historique de la collecte des incidents doit être
               de 5 ans minimum (3 ans en phase de démarrage) pour le passage à l’approche AMA.


                   Recensement des données de pertes internes

               L'identification a priori des risques aboutit à une cartographie « théorique » des activités,
               mais seule l'expérience permet de valider cette identification. On passe alors à la collecte
               des  incidents  constatés  dans  une  base  historique,  permettant  d'évaluer  les  pertes
               réellement subies suite aux risques opérationnels (loss data).

               La collecte s'effectue généralement sous forme déclarative. Les opérationnels remplissent
               des fiches standardisées qui sont ensuite saisies dans une base de données, ou saisissent
               directement dans l'outil. On peut également prévoir, en particulier pour les incidents de type
               panne informatique, une collecte automatique ou semi-automatique (« rapport de panne »
               produit automatiquement puis complété manuellement des montants de pertes encourues).

               De  telles  bases,  alimentées  sur  plusieurs  années  consécutives,  deviennent  une  source
               précieuse  d'information  pour  le  management  des  risques  opérationnels.  Ces  données
               permettent de dégager une vision objective, chiffrée, des risques encourus, à condition bien
               sûr d'avoir été constituées d'une manière fiable et réaliste.

               La  collecte  des  événements  de  perte  s'appuie  sur  la  cartographie  précédemment  établie
               pour le recensement et le référencement des incidents. Elle permet par ailleurs, par un effet
               rétroactif, de peaufiner cette cartographie.

                   Les données de pertes externes


               Il existe également des bases similaires mais provenant de sources externes. Ces données
               complètent  avantageusement  les  données  collectées  en  interne.  En  effet  les  bases
               historiques  ne  recensent  par  définition  que  les  incidents  qui  se  sont  déjà  produits  dans
               l'établissement. Pour obtenir une mesure plus réaliste on y ajoute donc un échantillonnage
               plus  large  obtenu  en  compilant  les  données  d'autres  établissements.  Ces  données
               nécessitent toutefois un effort d'interprétation, de calibrage et d'adaptation à la situation
               propre de l'établissement.



                                                                                                        55