Article body

Confrontées à un contexte économico-financier tendu et en réponse à la complexification des métiers, les institutions financières ont rapidement pris conscience d’un besoin de gestion stratégique des risques. Les risques bancaires majeurs, gérés jusqu’alors selon une approche dite « en silos », seront désormais intégrés au sein d’un dispositif global permettant au contraire de les maintenir connectés.

Ce dispositif, connu sous le nom d’Enterprise Risk Management (ERM par la suite), est une démarche structurée et standardisée de gestion des risques (Dickinson, 2001). Coordonné avec la stratégie décidée par le Conseil d’administration, l’ERM mobilise l’ensemble des composantes de la banque (lignes de métiers, responsables opérationnels, architecture IT, procédures). Il est appliqué aux banques dans le but de mieux en agréger les risques, tant quantitatifs que qualitatifs, et ainsi de permettre à leurs dirigeants d’être en mesure de prendre de meilleures décisions stratégiques.

En situation bancaire, l’ERM est une réelle opportunité d’aller au-delà du simple respect de la réglementation prudentielle, et d’intégrer la gestion des risques dans le processus de création de valeur (McShane et al., 2011). Cependant, si l’ERM est simple au plan conceptuel, l’implémenter dans les banques ne l’est pas (Bates, 2010). L’objectif de cette note de recherche est précisément de proposer des recommandations quant à la mise en pratique de l’ERM, pour en améliorer l’efficacité et en faire un véritable vecteur de création de valeur.

À l’appui de ces préconisations, il semble opportun de préciser dans un premier temps l’impact de l’environnement institutionnel et réglementaire. Puis, de montrer pourquoi il est indispensable de replacer le risque au coeur des décisions d’allocation de capital, pour détailler ensuite comment utiliser l’ERM comme stratégie de création de valeur. Enfin, des pistes de recherche sont proposées permettant de tester l’efficacité d’un dispositif ERM.

L’impact de l’environnement institutionnel et réglementaire

Le coût économique de la défaillance d’une banque

Après les réunions successives du G20, les gouvernements se sont mis d’accord sur six problèmes qui ont contribué à la crise financière : un niveau de supervision insuffisant, des règles prudentielles générant de la procyclicité, une prise en compte de la liquidité jugée insuffisante, un niveau de capital inadapté, un effet de levier excessif et une couverture des risques peu adéquate. Les règles dites « Bâle III » ainsi que le « Dodd-Frank Act » traitent de ces six causes et proposent un renforcement important de la réglementation applicable au secteur financier.

Le coût économique lié à la défaillance d’une banque est sans commune mesure avec celui induit par la défaillance d’une entreprise. Gerald Corrigan, ancien Président de la banque de la Réserve Fédérale de Minneapolis indiquait dès 1982 que les banques ne sont pas des entreprises comme les autres (« Banks are special »)[1]. En premier lieu, les banques sont au coeur de l’offre de crédit. Ensuite, la défaillance d’une banque fait peser un risque systémique à l’ensemble du système financier international. Enfin, la présence d’un fort aléa moral inhérent au secteur bancaire peut altérer le fonctionnement concurrentiel du marché (e.g. sauvetage d’AIG et de Citigroup en 2008).

Le principe des banques « trop grandes pour faire faillite » (too big to fail) offre une garantie implicite de l’Etat. Lorsque la Fed et le Trésor Américain décident de ne pas soutenir Lehman Brothers, précipitant ainsi la faillite de la banque, la crise de liquidité et les tensions sur le marché monétaire qui s’ensuivirent aurait pu produire l’effondrement du système financier occidental. C’était prendre un risque considérable et Henry Paulson, ancien Secrétaire au Trésor, le reconnût d’ailleurs lui-même a posteriori[2].

Le risque de liquidité n’est pas nouveau. Les effets de levier considérables utilisés par le fonds d’investissement LTCM (Long Term Capital Management) provoquèrent une crise de liquidité qui n’aurait pu être contenue sans l’intervention rapide des autorités de régulation. Ce qui est nouveau, c’est l’ampleur de l’absence de liquidité connue durant la phase de liquidité de la crise financière qui s’est déclarée en 2007, après plusieurs années de liquidité pléthorique. Comme le souligne le Comité de Bâle sur le contrôle bancaire (2010), de nombreuses banques, bien que dotées d’un niveau de fonds propres adéquat, se sont heurtées à des difficultés parce qu’elles n’ont pas géré leur liquidité de façon prudente.

Risque de liquidité et risque systémique

En réaction à la crise, la réforme de Bâle III, adoptée en décembre 2010 lors du G20 de Séoul, a pour objectif de réduire le risque systémique des banques. Deux actions phares sont au service de cet objectif : améliorer la liquidité des banques et renforcer leur solvabilité.

Concernant la liquidité, le Comité de Bâle sur le contrôle bancaire (2010) a mis au point deux ratios dont les objectifs sont distincts mais complémentaires. Le ratio de liquidité à court terme (LCR ou Liquidity Coverage Ratio) doit « favoriser la résilience à court terme du profil de risque de liquidité d’une banque en veillant à ce que celle-ci dispose de suffisamment d’actifs liquides de haute qualité pour surmonter une grave crise qui durerait un mois ». Le ratio structurel de liquidité à long terme (NSFR ou Net Stable Funding Ratio) doit « promouvoir la résilience à plus long terme en instaurant des incitations supplémentaires à l’intention des banques, afin qu’elles financent leurs activités au moyen de sources structurellement plus stables ».

En outre, les banques sont incitées à procéder à leurs propres scénarios de stress afin d’évaluer le niveau de liquidité court terme dont elles devraient se doter au-delà de la norme minimale fixée par le ratio LCR, mais aussi à développer leurs propres scénarios pouvant affecter leurs diverses lignes de métier. Une étude de McKinsey réalisée en 2010 estime que la rentabilité des activités de marché dans l’industrie bancaire, suite au renforcement de la réglementation mondiale des fonds propres et de la liquidité, devrait diminuer entre 7 % et 20 %.

Le volet solvabilité du dispositif de Bâle III consiste à renforcer la qualité et le niveau des fonds propres au sein du système bancaire et à améliorer la couverture des risques, à instaurer un ratio de levier destiné à soutenir le régime fondé sur les risques et à constituer des volants de conservation des fonds propres et contracycliques (Comité de Bâle sur le contrôle bancaire, 2011).

Ces mesures stratégiques sont importantes, mais la supervision bancaire ne peut à elle seule éviter les crises financières. Le Comité de Bâle reconnaît d’ailleurs qu’il n’existe pas de solution unique au problème posé par les externalités négatives engendrées par les établissements financiers d’importance systémique mondiale.

Convergence des approches ERM

L’Europe est le groupe de pays le plus avancé dans la mise en oeuvre des règles de Bâle III. Aux États-Unis, le processus est en cours. La Fed et plusieurs agences réglementaires doivent encore prendre des mesures complémentaires.

Alors qu’en Europe les règles de Bâle vont être appliquées à l’intégralité des établissements financiers, soit plus de 8000 banques de tailles et de structures très diverses, aux États-Unis, seules les institutions financières cotées en bourse comportant un risque systémique important (les systemically significant institutions ou SSI) seront concernées.

Selon la loi Dodd-Franck, ces sociétés devront mettre en place un comité de gestion des risques ainsi qu’un nombre d’administrateurs indépendants jugé appropriés par le Bureau des gouverneurs de la Réserve fédérale des États-Unis. L’objectif est d’instaurer une diversité culturelle et d’imposer des points de vue différents sur la gestion globale des risques.

Certes, des spécificités nationales demeurent au-delà du socle commun de mesures sur lequel les gouvernements du G20 se sont mis d’accord[3]. Cependant, la mise en place et le respect de cet ensemble de mesures devrait avoir un impact significatif – tant aux États-Unis qu’en Europe – sur la compétitivité des banques, leur capacité à attirer ou à retenir des talents, leur rentabilité, et leur capacité à s’engager dans certains types d’activités.

Les établissements bancaires d’importance systémique mondiale seront plus fortement impactés dans leurs activités de banque d’investissement et de financement. En effet, dans la plupart des cas, leur modèle opérationnel a privilégié les activités de négociation et les activités liées aux marchés financiers, qui sont les plus touchées par le renforcement de la couverture des risques dans le cadre des normes sur les fonds propres et la liquidité.

Au total, il est donc probable que les systèmes de gestion des risques convergent vers un simple aménagement de l’approche ERM entre Europe et États-Unis, notamment parce qu’elle intègre deux risques bancaires majeurs : le risque systémique et le risque de liquidité.

Replacer le risque au coeur des décisions d’allocation de capital

Capital économique, décision de couverture et choix d’investissement

Les fondements de la gestion des risques en milieu bancaire reposent sur la remise en cause du théorème de Modigliani et Miller (1958). En présence de marchés financiers parfaits, les banques n’ont en effet aucune raison d’exister, puisque, du point de vue de l’entreprise, les décisions d’investissement et de financement sont indépendantes. La valeur de l’entreprise n’est donc aucunement affectée par le choix d’une structure financière particulière.

L’existence d’imperfections de marché (pour l’essentiel, fiscalité, asymétries d’information entre emprunteurs, déposants et actionnaires d’une banque, coûts de transaction et de faillite) vient contredire l’hypothèse de marchés parfaits et du même coup justifier l’existence des banques. Cette remise en cause du cadre de Modigliani-Miller a été analysée dans le contexte bancaire par Froot et Stein (1998).

Selon ces auteurs, la banque cherche à limiter les coûts de recapitalisation en cas de pertes afin de maintenir sa capacité à bénéficier d’opportunités d’investissement futures. Aucune des trois dimensions qui fondent l’activité bancaire : capitalisation, investissement et tarification, ne peut donc être envisagée indépendamment des autres. En d’autres termes, la banque doit tenir compte du montant de capital économique à deux niveaux : décisions de couverture et choix d’investissement.

C’est précisément sur ce point que la direction des risques et la direction financière d’une banque interagissent. La direction des risques développe des mesures qui vont permettre de calculer les fonds propres nécessaires pour assurer chaque opération financière. L’objectif est donc de dimensionner les risques encourus par rapport au capital de la banque. Autrement dit, combien de capital il faut immobiliser pour un projet. C’est donc du suivi de la consommation de fonds propres dont il est question.

La direction financière, quant à elle, a pour mission d’allouer efficacement les fonds propres de la banque entre différentes activités ou projets. Dans ce but, elle utilise des mesures de performance ajustée du risque (risk-adjusted performance measure ou RAPM) de type Raroc[4]. Cet indicateur rapporte le profit d’une activité bancaire au capital nécessaire pour en couvrir le risque. Il est ensuite comparé à un taux de référence interne, et seuls les projets qui présentent une performance supérieure à cette cible seront retenus. Les règles de décision fondées sur des mesures RAPM permettent de répondre à des questions telles que : comment choisir entre deux opérations ou bien comment décider la réalisation ou non d’une opération?

La rentabilité économique d’une opération ou d’un projet

Dans l’industrie bancaire, la rentabilité économique d’une opération ou d’un projet est calculée en tenant compte du montant des fonds propres consommés. Ce sont eux qui dimensionnent le risque de la banque, et donc son activité. Ils doivent permettre d’absorber les fortes pertes dues à des éléments exogènes et/ou inattendus (e.g. risque pays/défaut de paiement). Ces fonds propres sont calculés de façon réglementaire (souci des autorités de contrôle) ou à partir de modèles internes. On parle alors de fonds propres ou capital économique (souci des banques). Les modèles internes sont supposés être plus « justes » que le calcul réglementaire, qui ne tient pas toujours compte des effets de diversification, de la nature du portefeuille de la banque ou de la non granularité de ses expositions.

Avant la crise financière, le capital économique se résumait à une problématique de coût pour les banques. Leur stratégie consistait pour l’essentiel à réduire au maximum la surcharge en capital réglementaire par rapport au capital économique. Les fonds propres sont les ressources les plus chères en raison de l’exigence de rentabilité. Puisqu’ils permettent de couvrir les risques, ils sont rémunérés. Leur taux de rémunération est le ROE. L’objectif de la banque est de servir le ROE le plus élevé à ses actionnaires. Or, avoir du capital immobilisé coûte cher. Et ce coût est d’autant plus élevé que le capital censé préserver la solvabilité et la pérennité de la banque, y compris dans des conditions extrêmes, excède le risque réel encouru.

Depuis la crise des crédits immobiliers à risque de 2007-2008 et la mise en cause des départements de gestion des risques des banques qui l’accompagna, le capital économique est devenu une problématique de confiance. Un montant élevé de capital économique rassure le marché, indiquant la solidité de la banque. Une banque très bien capitalisée par rapport à ses risques rassure et crée la confiance, ce qui peut attirer des investisseurs potentiels.

L’optimisation du couple risque/rendement

L’optimisation du couple risque/rendement doit se faire en prenant en compte les contraintes réglementaires. Ce qui ne veut pas dire que la gestion du risque doit être considérée uniquement comme un outil réglementaire. Au contraire, il faut l’envisager comme un outil stratégique de décision pour la banque. L’objectif d’une banque n’est pas de prendre le moins de risque possible, mais plutôt d’atteindre une rentabilité maximale pour un risque donné. Gérer les risques ne signifie pas les éliminer. Une institution financière doit donc procéder en continu à un arbitrage entre risque et rentabilité.

Ce n’est pas toujours évident. Il est parfois difficile de trouver un juste équilibre entre les risques qui sont un centre de coût et les unités commerciales qui sont des centres de profit. Comme le soulignent Augros et Quéruel (2000), la gestion d’une banque consiste en une gestion globale et coordonnée, sous contraintes internes et externes, de la rentabilité et des risques liés aux activités de l’établissement. C’est dans ce contexte que l’ERM trouve véritablement tout son intérêt.

Pour un établissement financier, l’ERM ne doit pas se résumer à un système de gestion des risques. C’est aussi un levier de création de valeur pour les actionnaires (SVA ou Shareholder Value Added). L’ERM crée de la valeur car il permet de quantifier et d’optimiser l’arbitrage risque/rentabilité au niveau le plus global, celui de la banque, mais aussi à des niveaux plus fins tels que les diverses lignes de métier. Deux vecteurs de création de valeur sont identifiables : l’amélioration de la performance financière de la banque et la réduction du coût et du temps de mise en conformité aux directives réglementaires. L’ERM, parce qu’il favorise la réduction des coûts liés à la gestion des risques, l’amélioration de la gestion du capital, et l’instauration d’une culture orientée risque, rehausse la performance de la banque.

L’ERM comme stratégie de création de valeur

L’excès d’aversion au risque nuit à la création de valeur

Aligner l’appétence pour le risque avec la stratégie de la banque est la clé de voûte de l’approche ERM. Selon le référentiel COSO 2 de 2004, l’appétence pour le risque est une donnée que la direction prend en considération lorsqu’elle évalue les différentes options stratégiques, détermine les objectifs associés et développe le dispositif pour gérer les risques correspondants. En d’autres termes, la prise de risque acceptée par la banque dans le but d’accroître sa valeur.

Grâce au déploiement d’un dispositif de gestion des risques tel que l’ERM, une banque augmente sa capacité à saisir les opportunités. C’est en prenant en compte un large éventail d’événements potentiels qu’elle est le mieux à même d’identifier et tirer parti des opportunités de façon proactive. Or, ces opportunités constituent un facteur de levier ou de soutien pour la création ou la préservation de valeur. L’objectif de l’approche ERM est de réintégrer les opportunités identifiées dans le cadre de la gestion des risques, à la réflexion stratégique et au processus de détermination des objectifs.

La valeur est au coeur de l’optimisation du couple risque/rendement (Nocco et Stulz, 2006). Chaque décision augmente, préserve ou détruit de la valeur. Puisque le risque est intrinsèque à la création de valeur, il ne s’agit pas de tout mettre en oeuvre pour l’éradiquer ou même le réduire à son minimum. Indubitablement, cette vision du risque représente un changement radical par rapport à l’approche traditionnelle qui prône de l’éviter absolument.

Les banques engagées dans un système ERM raisonnent différemment. Leur but est d’être exposées en permanence à un niveau de risque optimal – pas plus, pas moins – afin de poursuivre plus efficacement leurs objectifs stratégiques. L’ERM aide les banques à atteindre ce que Curtis et Carey (2012) appellent la zone de « prise de risque optimale » (ou le “sweet spot”). Au-delà de cette zone, la prise de risque est excessive ce qui a pour effet de détruire de la valeur. En-deçà, la prise de risque est insuffisante et conséquemment la création de valeur est inférieure à ce qu’elle pourrait être, autrement dit sous-optimale.

L’ERM offre la possibilité d’apporter une réponse efficace aux risques et opportunités associés aux incertitudes auxquelles la banque fait face, renforçant ainsi sa capacité à créer de la valeur. Cette valeur est maximisée lorsque la banque parvient à un équilibre optimal entre les objectifs de croissance et de rendement et les risques associés. C’est là tout l’intérêt de l’approche ERM : encadrer la prise de risque pour mieux la stimuler. La finalité de l’ERM est d’initier une culture orientée risque au sein des banques, afin qu’elles ne restent pas figées dans leur zone de confort, tentées par l’aversion au risque, ce qui nuirait à la création de valeur.

Les limites d’une approche en silo du risque

L’ERM repose sur une approche intégrée et holistique du risque. Il est donc primordial de bien comprendre le portefeuille de risques de la banque. Pour ce faire, il est nécessaire d’identifier les risques individuels auxquels elle est exposée, mais également la façon dont ils interagissent. Une approche dite « silo » du risque est alors particulièrement utile car elle va permettre en quelque sorte de dresser un inventaire des différents risques.

Classiquement, les établissements bancaires utilisent une typologie à trois catégories : risque de marché, risque de crédit et risque opérationnel, car ils définissent l’assiette des risques retenue par la réglementation Bâle II depuis 2006. Les volets liquidité et solvabilité du dispositif de Bâle III vont probablement inciter les banques à adopter une typologie augmentée du risque de liquidité et de risques plus difficilement quantifiables ex ante, tels que, par exemple, le risque de réputation ou le risque stratégique (risque que les choix stratégiques de la banque se traduisent par une baisse du cours de son action).

Toutefois, il faut souligner que cette vision compartimentée du risque n’est qu’une première étape dans la définition du profil de risque de la banque, censé refléter le portefeuille des risques auxquels ses diverses lignes de métiers l’exposent. L’approche en silo est inefficace lorsqu’il s’agit de prioriser les risques. Seule une approche portefeuille permet d’appréhender la banque comme un ensemble hiérarchisé de risques. Un programme ERM – parce qu’il repose sur ce type d’approche – contraint la banque à ne plus gérer les risques indépendamment les uns des autres.

Par définition, l’approche silo développe une gestion individualisée et fragmentaire des risques majeurs de la banque. Les responsables du risque de crédit, ou du risque de marché, ou du risque opérationnel se cantonnent à la surveillance de leur risque, se limitant ainsi à ce qui relève directement de leur sphère décisionnelle. Autrement dit, ils n’ont pas et ne peuvent pas avoir une réelle compréhension de l’impact de chacun de ces risques sur le risque global de la banque. Au contraire, en adoptant une approche holistique et intégrée, un programme ERM assure que chaque type de risque ne recevra pas un excès d’attention et de ressource, au détriment d’autres risques moins bien compris ou identifiés (Fraser et Simkins, 2010).

Analyse de scénarios et univers de risque pertinent

L’analyse de scénarios est très utile dans le cadre de l’évaluation des risques et surtout lorsqu’il s’agit de les relier à la définition des objectifs stratégiques de la banque. Définir un ou plusieurs scénarios de risque requiert dans un premier temps de préciser les hypothèses clés (les conditions ou facteurs de risque) qui déterminent la sévérité de l’impact d’un événement de risque, pour ensuite estimer cet impact au regard d’objectifs stratégiques servant la mission de la banque, ou opérationnels visant l’utilisation optimale des ressources.

La réalisation de ces objectifs dépend parfois d’événements de risque extérieurs qui peuvent échapper au contrôle de la banque. Il faut donc commencer par identifier le nombre de facteurs de risque qui délimite son univers de risque. Cependant, une banque d’importance systémique mondiale est exposée à plusieurs milliers de facteurs de risque. Il serait bien évidemment illusoire de vouloir en tenir compte en totalité.

Typiquement, ces scénarios couvrent les risques propres à l’activité bancaire, mais pas uniquement. Par exemple, des dégradations significatives des conditions de marché et de l’environnement économique, qui pourraient résulter notamment de crises affectant les marchés de capitaux, le crédit ou la liquidité, de récessions globales ou régionales, de fortes fluctuations du prix des matières premières (pétrole en particulier), d’événements affectant la dette souveraine (dégradation de la notation, restructurations ou défauts), ou encore d’événements géopolitiques (catastrophe naturelle, acte terroriste ou conflit armé).

Par ailleurs, la concurrence dans l’industrie bancaire pourrait s’intensifier du fait du mouvement de concentration des services financiers, qui s’est accéléré pendant la crise financière récente. Toute difficulté rencontrée au cours du processus de regroupement d’activités est susceptible d’engendrer une augmentation du coût d’intégration opérationnelle des activités acquises, ainsi que des économies ou bénéfices plus faibles qu’anticipés. La banque peut donc encourir un coût du risque plus élevé suite à ses opérations de croissance externe.

Aucun point de comparaison cardinal ou « benchmark » n’est disponible qui faciliterait le dénombrement des facteurs de risque à considérer pour définir un univers de risque bancaire pertinent. Toutefois, cartographier les risques afin de les prioriser s’avère très difficile en pratique lorsque leur nombre excède la cinquantaine, et la mise à jour des interactions entre risques devient virtuellement impossible. C’est parmi cette cinquantaine de facteurs de risque que sera ensuite repéré un sous-ensemble de risques clés.

Les critères d’appréciation mobilisés à cet effet peuvent être l’impact potentiel sur la situation financière, les résultats et la vulnérabilité de la banque, la probabilité d’occurrence de l’évènement de risque, ou encore la vitesse à laquelle les risques considérés pourraient avoir un effet défavorable sur la banque. Ce sont ces risques clés qui feront l’objet d’un compte rendu aux membres du comité de gestion des risques ou son équivalent, et qui seront suivis et surveillés de près par la direction générale et le conseil d’administration de la banque.

L’ERM dans un contexte d’options réelles

En matière de risque, la vulnérabilité d’une banque peut s’apprécier à l’aune de sa capacité à être en état d’alerte et à s’adapter. En somme, son agilité à faire face à un événement de risque. Son degré de perméabilité à ce type d’épisode dimensionne sa vulnérabilité. Celle-ci doit s’apprécier en termes d’impact et de probabilité d’occurrence. Plus une banque est vulnérable au risque, plus l’impact d’un événement de risque sera important si celui-ci survient. Si les réponses à ces situations de risque – dont le dispositif ERM constitue évidemment la pierre angulaire – ne sont pas en place, activées de manière inefficace ou encore inopérantes, c’est la probabilité de réalisation d’un événement de risque qui s’accroît.

Parmi les critères d’évaluation de la vulnérabilité au risque, les options réelles fournissent un cadre théorique intéressant. La mise en oeuvre d’un ERM offre des possibilités en matière de gestion des risques, des options que la banque peut exercer ou pas[5]. Le renforcement de la supervision prudentielle Bâle III à l’horizon 2013-2019 pousse les banques à revoir l’allocation des fonds propres affectés aux différentes activités. Elles vont devoir reconsidérer l’intérêt de conserver certaines filiales ou lignes métiers au regard des tailles critiques nécessaires à certains métiers et de leur apport en termes de performance financière.

L’ERM s’inscrit dans cette recherche de l’efficacité opérationnelle avec pour but une plus grande création de valeur. Les options réelles associées aux priorités qui seront données dans le développement des différentes activités des banques leur permettent de maximiser leur flexibilité stratégique. Et par conséquent, de réduire leur vulnérabilité au risque.

Tester l’efficacité d’un dispositif ERM

Afin de vérifier comment l’approche ERM pourrait être testée dans des recherches subséquentes, il faut au préalable disposer d’une mesure ou d’un indicateur de risque – sous une forme ou une autre. Sans un référentiel commun, il est tout simplement impossible d’effectuer des comparaisons entre organisations bancaires. Nous proposons deux voies de recherche vers lesquelles pourrait s’orienter la réflexion autour de l’ERM et son efficacité.

Une première option consiste à définir un paramètre basé sur l’écart entre le risque inhérent – risque qui existe si le management ne met en place aucune action corrective – et le risque résiduel – risque qui perdure malgré les mesures prises pour le traiter. Si l’on accepte le postulat de départ de l’ERM, à savoir agir le plus efficacement possible sur le risque inhérent d’un établissement financier, on peut considérer que plus l’écart entre le risque inhérent et résiduel est faible, plus l’ERM mis en place s’avère efficace. Disposant d’un indicateur de ce type, qui bien entendu reste à préciser d’un point de vue méthodologique, des comparaisons entre banques seraient envisageables quant à la performance de l’ERM.

Simple au plan conceptuel, si l’on s’en tient aux définitions du risque inhérent et résiduel du COSO 2 de 2004, cette approche se complique sensiblement lorsqu’elle est confrontée à la réalité des institutions bancaires. Pour certaines, en effet, le risque inhérent définit le niveau de risque dans l’hypothèse où les actions de couverture actuelles échouent. Le risque résiduel correspond alors à une situation où ces mesures de protection ont fonctionné selon le schéma prévu. D’autres, au contraire, considèrent que le risque inhérent est le niveau actuel de risque dans l’hypothèse où les actions préventives agissent selon le cadre de référence adopté, et envisagent le risque résiduel comme un risque estimé une fois cet ensemble de mesures actionné. En d’autres termes, dans le premier cas, l’accent est mis sur l’efficacité des contrôles en place; dans l’autre, sur l’évaluation des différentes options en matière de réponse aux risques.

Une seconde possibilité consiste à explorer le potentiel d’un dispositif ERM hors de l’univers bancaire. Les modèles « at-risk » de type Gross Margin at Risk (GMaR), Cash Flow at Risk (CFaR) ou Earnings at Risk (EaR) sont construits sur la base de relations causales, où les facteurs de risque conditionnent l’incertitude future de paramètres tels que le cash flow ou le résultat net des entreprises non financières. Lorsque les risques clés ont été identifiés à partir d’un indicateur at-risk commun, il est possible d’agréger les distributions de probabilité individuelles en une distribution unique reflétant les corrélations et les effets de portefeuille.

Parce qu’elle propose une vision agrégée du risque, les applications d’une mesure at-risk dans le cadre d’une démarche ERM sont multiples : allocation de capital, mise en cohérence du risque et des capacités déployées avec l’appétence pour le risque de l’organisation, estimation de sa solvabilité. Pour autant, des études empiriques sont nécessaires afin de mieux comprendre l’impact d’éléments qualitatifs sur l’efficacité de l’ERM. Par exemple, quel sera l’effet d’une erreur de jugement ou de la possibilité qu’a le management de passer outre aux décisions prises en matière de gestion des risques?

Conclusion

L’ambition de cette note de recherche était de proposer un ensemble de recommandations relatives à la mise en pratique de l’ERM – méthode de gestion intégrée des risques – en situation bancaire. Engagées dans une phase d’apprentissage, les banques ont une opportunité unique de repenser et d’actionner différemment la gestion des risques. Ne plus l’envisager essentiellement comme un moyen défensif et contraignant au service de la conformité aux normes prudentielles, et davantage comme un vecteur de création de valeur.

Le principal écueil pour les banques est de se laisser submerger par la grande complexité technique inhérente à la gestion des risques aujourd’hui. La crise financière récente a stigmatisé les approches purement quantitatives du risque. L’approche ERM s’en démarque en laissant un espace pour l’intuition, la faculté de jugement et de discernement, l’expérience professionnelle.

Soyons clairs, il n’est pas question de crier haro sur la modélisation. Il s’agit plutôt de rappeler qu’il serait dangereux de réduire la gestion des risques à la mesure du risque. « Toute hausse de la rentabilité équivaut à un accroissement du risque, il n’y a aucun doute là-dessus. Ce n’est pas un problème de modèle mathématique, mais de simple bon sens »[6].