EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 52012TA0616(01)
Report on the audit of risk management of the European Central Bank for the financial year 2010, together with the ECB’s replies
Rapport sur l'audit de la gestion des risques à la Banque centrale européenne pour l'exercice 2010, accompagné des réponses de la BCE
Rapport sur l'audit de la gestion des risques à la Banque centrale européenne pour l'exercice 2010, accompagné des réponses de la BCE
JO C 173 du 16.6.2012, p. 1–17
(BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
|
16.6.2012 |
FR |
Journal officiel de l'Union européenne |
C 173/1 |
RAPPORT
sur l'audit de la gestion des risques à la Banque centrale européenne pour l'exercice 2010, accompagné des réponses de la BCE
2012/C 173/01
TABLE DES MATIÈRES
|
|
Points |
Page |
|
INTRODUCTION … |
1-4 |
3 |
|
ÉTENDUE ET APPROCHE DE l’AUDIT … |
5-6 |
3 |
|
OBSERVATIONS … |
7-91 |
3 |
|
La BCE a-t-elle mis en place un cadre de gouvernance approprié et complet pour la gestion des risques? … |
7-18 |
3 |
|
Cadre global de gestion des risques … |
8-14 |
3 |
|
Communication d'informations aux tierces parties concernant le cadre de gestion des risques de la BCE … |
15-18 |
4 |
|
La BCE a-t-elle géré efficacement les risques opérationnels auxquels elle est exposée? … |
19-66 |
5 |
|
Gestion des risques opérationnels … |
20-39 |
5 |
|
Gestion de la continuité des activités à la BCE … |
40-66 |
7 |
|
La BCE a-t-elle géré efficacement les risques financiers auxquels elle est exposée? … |
67-91 |
10 |
|
Cadre de gestion des risques financiers pour les opérations de placement et autres activités bancaires … |
69-74 |
10 |
|
Méthodologie de gestion des risques financiers … |
75-83 |
11 |
|
Application de la méthodologie de gestion des risques financiers … |
84-88 |
12 |
|
Caractère adéquat de la communication d'informations sur les risques financiers … |
89-91 |
12 |
|
CONCLUSIONS ET RECOMMANDATIONS … |
92-100 |
13 |
|
La BCE a-t-elle mis en place un cadre de gouvernance approprié et complet pour la gestion des risques? … |
92-93 |
13 |
|
La BCE a-t-elle géré efficacement les risques opérationnels auxquels elle est exposée? … |
94-98 |
13 |
|
La BCE a-t-elle géré efficacement les risques financiers auxquels elle est exposée? … |
99-100 |
13 |
|
Réponses de la Banque centrale européenne … |
15 |
|
ABRÉVIATIONS, ACRONYMES ET SIGLES
|
BCE |
Banque centrale européenne |
|
BCM |
Business Continuity Management (gestion de la continuité des activités) |
|
BCN |
Banques centrales nationales |
|
BPH |
Business Practice Handbook (manuel des pratiques opérationnelles) |
|
BRI |
Banque des règlements internationaux |
|
CRO |
Chief Risk Officer (responsable des risques) |
|
D-CO |
Direction Communication |
|
DG A |
Direction générale Administration |
|
DG H |
Direction générale Ressources humaines, budget et organisation |
|
DG IS |
Direction générale Systèmes d'information |
|
DG M |
Direction générale Opérations de marché |
|
DG P |
Direction générale Systèmes de paiement |
|
DG S |
Direction générale Statistiques |
|
FOS |
Division Services liés aux opérations financières |
|
GIPS |
Global Investment Performance Standards (normes internationales de présentation des performances) |
|
IAS |
International Accounting Standards (normes comptables internationales) |
|
IASB |
International Accounting Standards Board (organisme adoptant des normes comptables internationales) |
|
IFRS |
International Financial Reporting Standards (normes internationales d'information financière) |
|
INV |
Division Placements |
|
MOS |
Division Systèmes des opérations de marché |
|
OFM |
Own Funds Management (gestion des fonds propres) |
|
ORC |
Operational Risk Committee (comité du risque opérationnel) |
|
ORM |
Operational Risk Management (gestion des risques opérationnels) |
|
RMA |
Division Gestion des risques (au sein de la DG H) |
|
SEBC |
Système européen de banques centrales |
|
VaR |
Value at risk (valeur en risque) |
INTRODUCTION
|
1. |
La Banque centrale européenne (BCE) et les banques centrales nationales de l'ensemble des États membres de l'Union européenne (UE) constituent le Système européen de banques centrales (SEBC). L'objectif principal du SEBC est de maintenir la stabilité des prix. Le SEBC apporte également son soutien aux politiques économiques générales dans l'UE en vue de contribuer à la réalisation des objectifs de l'Union (1). À cette fin, la BCE s'acquitte des tâches définies dans ses statuts (2) et est responsable de la gestion de ses activités et de ses finances. |
|
2. |
L'audit de l'efficience de la gestion de la BCE par la Cour des comptes européenne (ci-après la «Cour») est fondé sur l'article 27, paragraphe 2, du protocole fixant les statuts du SEBC et de la BCE (3). L'audit relatif à 2010 a porté sur les procédures et les systèmes de gestion des risques mis en place par la BCE, ainsi que sur leur application. |
|
3. |
Les organes de décision de la BCE sont le conseil des gouverneurs et le directoire (4). Celui-ci met en œuvre la politique monétaire conformément aux orientations et aux décisions arrêtées par le conseil des gouverneurs (5) et assume la responsabilité globale de la gestion des activités courantes de la BCE et de ses ressources. Le directoire est également responsable en dernier ressort de la gestion des risques à la BCE. |
|
4. |
La gestion des risques à la BCE est assurée par le biais de deux cadres distincts. L'unité responsable de la gestion des risques opérationnels [ORM (6)/BCM] couvre l'ensemble des risques opérationnels (voir note 22 de bas de page), y compris la continuité des activités. La division Gestion des risques (RMA) est chargée de la gestion des risques financiers (voir point 70), y compris des activités de placement et des opérations de crédit de la BCE. |
ÉTENDUE ET APPROCHE DE L’AUDIT
|
5. |
L'audit de la Cour relatif à l'exercice 2010 avait pour objectif d'évaluer le caractère approprié du cadre de gestion des risques opérationnels et financiers de la BCE (7). Pour évaluer la gestion des risques à la BCE, les questions d'audit clés suivantes ont été examinées:
|
|
6. |
L'audit de la gestion des risques à la BCE (8) comprenait les éléments suivants:
|
OBSERVATIONS
La BCE a-t-elle mis en place un cadre de gouvernance approprié et complet pour la gestion des risques?
|
7. |
L'ambition affichée de la BCE est d'appliquer les meilleures pratiques dans le cadre de sa gestion des risques: la Banque centrale européenne a accordé, dès le départ, une attention particulière à la gestion des risques. En tant que nouveau membre de la communauté des banques centrales, elle avait pour ambition d'appliquer les normes les plus élevées en matière de gouvernance en mettant en place une fonction de gestion des risques au sein de l'institution et en utilisant des outils de pointe (10). |
Cadre global de gestion des risques
|
8. |
Une «culture du risque» forte à l'échelle de l'institution est l'une des pierres angulaires d'une gestion des risques efficace. La création de cette culture du risque présuppose l'établissement d'une fonction de gestion des risques complète (couvrant tous les types de risques, toutes les lignes d'activité et tous les risques pertinents) et indépendante, sous la responsabilité directe du responsable des risques (Chief Risk Officer, CRO) ou, si celui-ci n'a pas été désigné, des cadres dirigeants, conformément au principe de proportionnalité (11). |
|
9. |
Au sein de la BCE, chaque unité organisationnelle (12) est responsable de la gestion de ses propres risques et contrôles. Dans le cadre du processus de gestion des risques, deux fonctions/divisions fournissent un appui aux unités organisationnelles:
|
|
10. |
Pour assister le directoire dans sa prise de décision, plusieurs comités chargés de différents aspects de la gestion des risques ont été mis en place, notamment le comité du risque opérationnel, le comité d'investissement, le comité «actif – passif» et le comité du crédit. |
|
11. |
La BCE dispose d'une structure organisationnelle complète, avec une répartition claire des rôles et des responsabilités. Toutefois, il existe une séparation marquée entre la gestion des risques financiers et opérationnels au sein de la BCE, ce qui augmente la probabilité de ne pas disposer d'une vue d'ensemble complète des risques auxquels elle est exposée. |
|
12. |
Aucune autorité indépendante et unique, tel un responsable des risques (CRO) ou un comité général de gestion des risques, n'a été mise en place pour faire le lien entre le directoire et la fonction/les unités chargées de la gestion des risques, à savoir la fonction ORM/BCM et les unités relevant de la division RMA. Au moment de l'audit, le membre du directoire chargé de la gestion des risques cumulait également des responsabilités dans un certain nombre d'autres domaines, alors qu'un responsable des risques se concentrerait exclusivement sur la gestion des risques. |
|
13. |
En outre, l'absence d'une fonction de gestion des risques indépendante d'un point de vue hiérarchique renforce le risque qu'une priorité insuffisante soit accordée aux questions de gestion des risques, par exemple à l'affectation de personnel aux tâches de gestion des risques, les décisions en la matière relevant de la compétence de la DG-H. |
|
14. |
Un examen des meilleures pratiques dans d'autres organisations internationales similaires a montré que la Banque du Canada avait adopté un cadre intégré de gestion des risques comportant un responsable des risques et un groupe de travail sur la gestion des risques. Ces deux derniers sont chargés d'élaborer le profil de risque complet de la Banque, en prenant en considération les risques opérationnels et financiers, ainsi que ceux liés aux activités, comme cela est décrit à l'encadré 1. Le cadre de gestion des risques de la Banque s'inscrit pleinement dans ses processus de planification stratégique, d'établissement du budget et d'évaluation des performances en fin d'année. Encadré 1 Exemple d'une gestion intégrée des risques – Banque du Canada Le responsable des risques assume les responsabilités suivantes:
Le groupe de travail sur la gestion des risques exécute les tâches suivantes:
|
Communication d'informations aux tierces parties concernant le cadre de gestion des risques de la BCE
|
15. |
La communication d'informations au public devrait être suffisante pour permettre aux tierces parties d'évaluer l'approche adoptée par la BCE en matière de gestion des risques. |
|
16. |
La BCE publie un rapport annuel, y compris les comptes annuels et les notes d'information qui s'y rapportent (16). Les informations relatives à la gestion des risques sont relativement limitées dans les comptes annuels et celles relatives aux principes et aux données chiffrées en matière de gestion des risques à la BCE ne sont pas rendues publiques [à l'exception de l'indicateur consolidé correspondant à la value at risk, VaR (17)]. Le rapport annuel de la BCE aborde brièvement certaines questions de gestion des risques, mais ne présente ni une vue d'ensemble du processus de gestion des risques au sein de l'organisation, ni les risques encourus, ni l'approche adoptée par l'encadrement pour y faire face. |
|
17. |
L'utilisation des normes internationales d'information financière (International Financial Reporting Standards – IFRS) (18) représente la meilleure pratique en matière de présentation des comptes des entités. Toutefois, la norme IFRS 7 «Instruments financiers: informations à fournir», qui concerne la présentation des risques encourus au niveau des comptes d'une organisation, n'a pas été appliquée par la BCE. |
|
18. |
D'autres banques centrales nationales ou internationales comme la Banque des règlements internationaux (BRI) et la Banque du Canada communiquent, dans le cadre de leurs états financiers annuels, des informations sur la gestion des risques, bien que l'une d'entre elles n'applique pas les IFRS (voir encadré 2 ci-après). Encadré 2 Illustration de la communication d'informations relatives à la gestion des risques
|
La BCE a-t-elle géré efficacement les risques opérationnels auxquels elle est exposée?
|
19. |
La gestion de la continuité des activités vient compléter le cadre de gestion des risques opérationnels (ORM) de la BCE; ensemble, ils forment un élément important de la gouvernance d'entreprise (20). |
Gestion des risques opérationnels
|
20. |
Un cadre de gestion des risques opérationnels efficace comporte des stratégies précises, fait l'objet d'une supervision par le conseil d'administration et les cadres dirigeants, suppose une culture forte en matière de risque opérationnel et de contrôle interne (y compris une répartition claire des responsabilités et une séparation des tâches), ainsi qu'un système interne de communication des informations efficace. |
|
21. |
Pour évaluer la gestion des risques opérationnels à la BCE, la Cour a examiné:
|
Politiques en matière de risques opérationnels
|
22. |
Les politiques de gestion des risques opérationnels devraient fournir une définition précise du risque opérationnel à l'échelle de la banque, ainsi que présenter les principes sous-tendant l'approche adoptée par la banque en matière d'identification, d'évaluation, de suivi et de maîtrise/d'atténuation des risques. |
|
23. |
Le cadre de gestion des risques opérationnels à la BCE a été adopté par le directoire en octobre 2007 (21) et sa description figure dans le Business Practice Handbook, publié sur l'intranet et accessible à l'ensemble du personnel. Il présente, dans les grandes lignes, la définition de la gestion des risques opérationnels de la BCE (22), la politique de tolérance au risque, ainsi que la répartition des rôles et des responsabilités; en outre, il donne une vue d'ensemble des politiques en matière d'évaluation, de réponses à apporter, d'établissement de rapports et de suivi. |
|
24. |
Les politiques de gestion des risques opérationnels qui ont été établies fournissent une définition précise du risque opérationnel à l'échelle de la Banque et présentent les principes sous-tendant l'approche adoptée par la BCE en matière d'évaluation, de suivi et de maîtrise/d'atténuation des risques. En revanche, le Business Practice Handbook ne donne aucune précision sur l'approche utilisée par la BCE pour identifier les risques. |
Structure organisationnelle et responsabilités
|
25. |
La direction de l'entité organisationnelle devrait être responsable de la mise en œuvre des politiques, des processus et des procédures en matière de gestion des risques opérationnels, et ce pour l'ensemble des activités, des processus et des systèmes importants de la banque. En outre, celle-ci devrait être dotée d'un système de gestion des risques opérationnels, avec des responsabilités claires assignées à une fonction de gestion des risques. |
|
26. |
À la BCE, le directoire est responsable en dernier ressort de la gestion des risques opérationnels. Le comité du risque opérationnel (ORC) traite les questions stratégiques à moyen terme, ainsi que certaines questions spécifiques de court terme présentant un intérêt (23). Le comité se compose d'un membre du directoire (le président) ainsi que de sept cadres dirigeants de la Banque (24). Il dispose de pouvoirs décisionnels en matière d'acceptation des risques d'un niveau moyen, les risques élevés devant toujours être soumis à l'acceptation du directoire. Le comité se réunit tous les deux mois, ou plus, le cas échéant. |
|
27. |
Le Business Practice Handbook met clairement en évidence la responsabilité des entités organisationnelles en ce qui concerne la gestion de leurs propres risques opérationnels (25). Par conséquent, chaque entité devrait désigner (au moins) un coordinateur de gestion des risques, qui apporte son soutien à la direction des entités organisationnelles en matière de gestion des risques opérationnels (ORM) et qui serve d'interlocuteur pour ces questions au sein de l'entité. En outre, la direction des entités organisationnelles est également chargée de veiller à ce que le personnel acquière et entretienne les compétences nécessaires pour assumer ses responsabilités et l'obligation de rendre compte en ce qui concerne la gestion des risques opérationnels. La fonction ORM/BCM devrait renforcer le cadre de gestion des risques opérationnels et en assurer le fonctionnement, ainsi que coordonner l'approche des différentes entités organisationnelles en la matière. |
|
28. |
Sur les huit personnes de la fonction ORM/BCM, seules quatre étaient des employés permanents au moment de l'audit. Les autres avaient été détachées par les banques centrales nationales, ou travaillaient sous contrat à durée déterminée pour une période de trois mois à deux ans. La rotation des effectifs est donc élevée, ce qui conduit à une rupture de continuité au sein d'une fonction importante et augmente le risque que le cadre de gestion des risques opérationnels ne soit pas correctement mis en œuvre à la BCE. |
|
29. |
Le degré de sensibilisation du personnel au cadre de gestion des risques opérationnels a été inclus dans les enquêtes menées en 2009 et 2010. En 2009, l'enquête a montré que près de 40 % des répondants estimaient qu'ils n'avaient pas reçu suffisamment d'informations sur la gestion des risques opérationnels; 56 % déclaraient ne pas savoir qui avait été nommé coordinateur de gestion des risques dans leur entité organisationnelle et 45 % ignoraient où trouver les informations relatives à la gestion des risques opérationnels sur l'intranet. En 2010, l'enquête a révélé que 40 % du personnel ne savaient toujours pas où se procurer les informations en question. |
Lien avec la planification stratégique et financière (cycle budgétaire annuel)
|
30. |
La gestion des risques devrait être ancrée dans la gouvernance de la BCE et faire partie intégrante de la planification stratégique, opérationnelle et financière de la banque. |
|
31. |
L'évaluation annuelle des risques opérationnels réalisée par les entités organisationnelles et la fonction ORM/BCM joue un rôle important dans l'établissement du profil de risque de la BCE. En 2009, les entités organisationnelles ont procédé aux évaluations de juin à août 2009, puis une réunion de calage a eu lieu avec les coordinateurs de gestion des risques. Le rapport établi sur la base d'une approche dite descendante a été achevé en janvier 2010. |
|
32. |
Le profil de risque devrait constituer l'un des éléments participant au processus de planification stratégique, qui est à son tour déterminant pour l'établissement du plan financier. Toutefois, l'audit a montré qu'aucune corrélation n'était établie entre l'évaluation annuelle des risques opérationnels et le cycle de planification stratégique et financière à la BCE. Dans ce contexte, la gestion des risques opérationnels risque de devenir un exercice isolé, et il se peut que le plan financier ne prévoie pas une affectation des ressources de nature à permettre la réalisation des objectifs stratégiques (26). |
|
33. |
Un exemple de bonne pratique provient de la Banque du Canada, où le profil de risque de la banque fait partie intégrante du cycle global de planification stratégique et financière de la banque (27). |
Processus de gestion des risques: identification du risque, évaluation et réponses à apporter, établissement de rapports, contrôle et suivi
|
34. |
Il convient d'identifier et d'apprécier tous les risques opérationnels inhérents aux activités, aux processus et aux systèmes. Les risques devraient être évalués au regard de la politique et de la marge de tolérance en vigueur afin de déterminer les réponses adéquates à apporter en se fondant sur des calculs des coûts suffisants. Il importe de communiquer régulièrement des informations pertinentes aux cadres dirigeants et au directoire de façon à soutenir la gestion proactive des risques opérationnels. |
|
35. |
La mise en œuvre du cadre de gestion des risques opérationnels reposait principalement sur des évaluations descendantes. En application de la politique de gestion des risques de la BCE, les entités organisationnelles devraient également procéder en continu à des évaluations de leurs processus selon une approche ascendante, et les risques mis au jour devraient être soumis à approbation (28). |
|
36. |
En 2008 et 2009, la BCE a réalisé des évaluations descendantes. La fonction ORM/BCM a communiqué aux entités organisationnelles plusieurs risques élevés prédéfinis, qui ont servi de base à leurs appréciations des risques. Pour chacune des entités organisationnelles, un plan d'action a été inclus dans le rapport final. Le Business Practice Handbook prévoit que les entités organisationnelles analysent et définissent des stratégies de réponse aux risques, et qu'elles réalisent une analyse coûts-avantages des solutions possibles. |
|
37. |
Les entités organisationnelles ont toutes identifié des risques et des réponses à apporter lors de l'exercice d'évaluation réalisé en 2009 sur la base d'une approche descendante. Le rapport d'évaluation 2009 en résultant comprenait des points d'action de suivi pour chaque entité organisationnelle. Toutefois, il n'existait aucune documentation relative aux analyses coûts-avantages au sein des entités organisationnelles faisant partie de l'échantillon. |
|
38. |
Dans certains cas, la procédure d'acceptation, qui suit l'identification du risque par l'entité organisationnelle et relève du comité du risque opérationnel/du directoire, s'est avérée particulièrement lente. Par exemple, deux risques relevés en juillet-août 2009 n'avaient toujours pas été approuvés en décembre 2010. En outre, il ressort de la liste des points d'action en cours examinée lors des réunions du comité du risque opérationnel que certains points sont restés ouverts pendant plus d'un an, voire deux dans quelques cas. |
|
39. |
Il n'a été possible de mettre en évidence les ressources spécialement allouées aux activités de gestion des risques opérationnels que dans les programmes de travail de trois des six entités organisationnelles composant l'échantillon; cependant, même dans ces cas-là, la description des activités en question était vague et il s'est avéré impossible de faire correspondre les points d'action de l'exercice descendant de 2009 relatif à la gestion des risques opérationnels avec les programmes de travail des entités organisationnelles. |
Gestion de la continuité des activités à la BCE
|
40. |
La gestion de la continuité des activités est une composante importante de la gestion des risques opérationnels. Pour pouvoir assurer la continuité des activités et des processus critiques en cas de crise, il importe d'établir des plans d'urgence et de rétablissement après sinistre pour les scénarios les plus pessimistes. |
|
41. |
La Cour a examiné si:
|
Cadre de gestion de la continuité des activités
|
42. |
La gestion de la continuité d'activité est une approche globale qui inclut la politique, les règles et les procédures pour s’assurer que des opérations précises peuvent être poursuivies ou récupérées dans un laps de temps raisonnable dans le cas d'une perturbation. Son but est de réduire au minimum les conséquences opérationnelles, financières, légales, de réputation et autres conséquences substantielles résultant d'une perturbation (29). |
|
43. |
L'objectif de la gestion de la continuité des activités est de garantir que les dispositifs et les solutions en matière de continuité des activités sont conformes aux objectifs, aux obligations et aux missions statutaires de la BCE, ainsi qu'à sa politique de tolérance des risques (30). |
|
44. |
L'audit a comporté un examen des principaux documents constituant le cadre de gestion de la continuité des activités, à savoir:
|
|
45. |
La BCE a élaboré un manuel de gestion des crises qui définit les rôles, les responsabilités et les processus en cas de crise, et contient les coordonnées de l'équipe de gestion des crises. Chaque entité organisationnelle est pleinement responsable de l'établissement de son plan de continuité des activités. Toutefois, le modèle directeur en la matière ne requiert pas de plan de continuité des activités à l'échelle de l'organisation et la BCE n'en a pas élaboré. |
|
46. |
La BCE a mis en place un cadre solide, qui fournit des orientations sur les politiques, les processus et les responsabilités en matière de gestion de la continuité des activités au sein de l'organisation. Toutefois, cette approche décentralisée induit également le risque que, en l'absence d'une coordination rigoureuse, la mise en œuvre de la gestion de la continuité des activités dans l'organisation prise dans son ensemble manque de cohérence. |
Identification des processus critiques
|
47. |
L’analyse d'impact sur l’activité représente un processus dynamique pour identifier les opérations et services critiques, les dépendances clés, internes et externes, et les niveaux de résilience appropriés. Ce processus évalue les risques et les impacts potentiels de divers scénarios de perturbation sur les opérations d'une organisation et sur sa réputation (31). |
|
48. |
La dernière analyse d'impact complète sur l'activité remonte à 2006 (32) et visait à mettre en évidence les produits et les services de la BCE indispensables à la continuité des opérations principales de la Banque. L'analyse d'impact sur l'activité était centrée sur les domaines clés suivants:
|
|
49. |
Une mise à jour approfondie de l'analyse d'impact sur l'activité réalisée en 2007 a révélé que la continuité des activités et les dispositifs en vigueur à cette époque présentaient certaines lacunes. Une stratégie de suivi a été mise en place, proposant différentes solutions pour combler les lacunes observées ou accepter les risques et les coûts. Toutefois, même si les coûts des solutions concernant l'informatique et l'infrastructure logistique figuraient dans le document en question, ce dernier ne comprenait aucune ventilation visant à montrer l'incidence, sur les coûts, des différents niveaux de risque. |
|
50. |
La dernière mise à jour de l'analyse d'impact sur l'activité, dont l'objectif était de combler les lacunes détectées en 2007, a été achevée en 2010. Depuis la crise financière, il n'a été procédé à aucune analyse d'impact complète sur l'activité. |
Plans de continuité des activités
|
51. |
Il conviendrait de concevoir les plans de continuité des activités de telle manière que les opérations critiques soient identifiées pour garantir que la BCE puisse remplir ses obligations statutaires, telles qu'elles sont définies dans le protocole correspondant sur les statuts de la BCE (33). Ces plans devraient être élaborés sur la base du «scénario le plus pessimiste» et en tenant compte du fait que les réponses à apporter peuvent être allégées pour s'adapter à la réalité de la crise (34). |
|
52. |
La BCE a défini les principaux critères de référence servant à déterminer la criticité pour un certain nombre de risques sur la base de ses obligations statutaires (voir encadré 3). Encadré 3 Principaux critères de référence pour déterminer la criticité Les obligations statutaires consistent notamment à:
L'interruption de l'un des processus identifiés peut avoir les conséquences suivantes:
Source: Analyses d'impact sur l'activité de la BCE, Étude 2006. |
|
53. |
Sur la base de l'examen par la Cour de ces principaux critères de référence et d'une évaluation préliminaire du degré potentiel de poursuite des opérations dans le cadre des scénarios établis (35), il a été estimé que les plans élaborés ont été conçus de manière à garantir que les obligations statutaires soient remplies. Dans le cadre de son examen des plans de continuité des activités, la Cour a cependant constaté que les plans destinés à faire face, en cas de sinistre, à de lourdes pertes au niveau des ressources humaines (36) faisaient défaut. Bien que les entités organisationnelles responsables des processus aient désigné les personnes compétentes en matière de continuité des activités, ainsi que leurs remplaçants, aucune d'entre elles ne disposait d'un «plan de secours» pour les cas d'indisponibilité du personnel à grande échelle. |
|
54. |
Conformément au modèle directeur du plan de continuité des activités, les plans des différentes entités organisationnelles devraient couvrir:
Une organisation comparera l’avantage direct de mesures prises pour améliorer sa résilience aux perturbations opérationnelles avec le coût de ces mesures (40). |
|
55. |
D'une manière générale, le modèle directeur du plan de continuité des activités de la BCE définit la structure et le contenu que les plans de continuité des activités des différentes entités organisationnelles doivent obligatoirement présenter. En tant que tel, ce modèle ne comporte qu'un canevas des documents relatifs au plan de continuité des activités que les entités doivent présenter. |
|
56. |
Les plans de continuité des activités sont élaborés au niveau de l'entité organisationnelle, du département ou de la division. Si, d'une manière générale, le modèle directeur du plan de continuité des activités a bien été respecté pour ce qui est du contenu, de grandes différences apparaissent néanmoins en ce qui concerne le degré de détails. Bien que la fonction ORM/BCM joue un rôle de coordination centrale, la qualité des différents plans de continuité des activités dépend de la personne responsable au niveau de l'entité organisationnelle. Il n'existe aucun élément attestant que les différents plans de continuité des activités font l'objet d'une révision suffisante par la fonction ORM/BCM. |
|
57. |
Sur les cinq entités organisationnelles (41) sélectionnées pour les tests approfondis, quatre ont présenté des plans de continuité des activités conformes aux exigences en la matière, dont trois traitaient de manière exhaustive les processus critiques identifiés dans le cadre de l'analyse d'impact sur l'activité. |
|
58. |
Dans la plupart des cas, il n'existait aucune documentation relative aux analyses coûts-avantages des diverses solutions possibles en matière de continuité des activités au sein des entités organisationnelles faisant partie de l'échantillon, ni aucune évaluation des différents niveaux de risques. |
Réalisation de tests
|
59. |
Les organisations devraient, de manière appropriée, tester leurs plans de continuité d’activité, évaluer leur efficacité et mettre à jour leur gestion de la continuité d’activité (42). En vertu de la norme BS 25999 (43), l'organisation doit veiller à ce que les dispositifs de gestion de la continuité des activités soient validés par le biais de tests et de révisions, et qu'ils soient maintenus à jour. |
|
60. |
Les documents suivants ont été examinés:
|
|
61. |
La stratégie en matière de tests est centrée sur les plans de continuité des activités et les plans de récupération des systèmes d'information qui ont été établis pour permettre la révision des processus critiques conformément à l'analyse d'impact sur l'activité. Le cadre de tests inclut une répartition claire des responsabilités, la définition de l'étendue des tests et de leur fréquence, les exigences en matière de communication des informations, ainsi qu'un programme pertinent pour les tests à moyen terme. L'examen a montré que le cadre de tests mis en place est adéquat et conforme aux exigences de la norme BS 25999. |
|
62. |
Les tests effectués ont révélé que les exercices de simulation, bien qu'ils couvrent le personnel clé et soient réalisés régulièrement, ne reproduisent pas toujours les situations auxquelles la BCE serait confrontée en cas de perturbation majeure de ses activités. Les tests prévus en 2009 et 2010 n'ont pas couvert tous les scénarios élaborés par la BCE, et les tests programmés initialement n'ont pas toujours été tous exécutés. |
Formation et sensibilisation
|
63. |
Il convient de sensibiliser les équipes chargées de la gestion des crises et des réponses à apporter à leurs responsabilités et à leurs tâches. Une formation devrait être dispensée à ces équipes au moins une fois par an, ainsi qu'aux nouveaux membres, dès leur entrée en fonction. Il importe de former tous les membres du personnel à l'exercice de leurs propres responsabilités en cas de crise. En outre, ils devraient être informés des principaux éléments du plan de continuité des activités (45). |
|
64. |
La stratégie adoptée par la BCE en matière de formation prévoit que l'ensemble du personnel doit pouvoir bénéficier du programme de sensibilisation à la gestion de continuité des activités (46). En ce qui concerne les tests, la stratégie de formation prévoit l'établissement d'un programme de formation, qui précise les détails de la mise en œuvre. |
|
65. |
En 2010, dans le cadre des programmes de formation en matière de gestion des risques, cinq demi-journées de formation ont été organisées pour permettre la «découverte» du manuel de gestion de crises adopté par la BCE. Si, d'une manière générale, l'introduction au manuel et la séance de formation ont reçu une évaluation positive des participants, ceux-ci n'ont toutefois pas manqué de souligner que des tests de simulation seraient hautement appréciés. |
|
66. |
Si l'audit a permis de relever des éléments attestant qu'une formation était manifestement dispensée au personnel responsable en matière de continuité des activités, notamment par le biais de tests relatifs aux plans de continuité des activités, aucun élément n'attestait que les autres membres du personnel aient été sensibilisés, de manière active, au cadre et aux processus de continuité des activités. Or, plusieurs documents de référence internes (47) confirment que, même si les tests jouent un rôle essentiel dans le cadre de la formation du personnel, il importe d'informer l'ensemble du personnel au moyen d'un programme de sensibilisation. Aucun programme de ce type n'a encore été élaboré, la fonction ORM/BCM centrale estimant que le degré de sensibilisation du personnel aux systèmes de continuité des activités est satisfaisant. Toutefois, une enquête interne (48) révèle que plus de 12 % (20 % en 2009) des répondants n'ont pas connaissance des dispositifs de continuité des activités de leur entité organisationnelle et ne seraient pas en mesure de trouver les informations sur la manière de réagir en cas de crise. |
La BCE a-t-elle géré efficacement les risques financiers auxquels elle est exposée?
|
67. |
La gestion des risques financiers est un processus visant à prendre en considération les incertitudes résultant des marchés financiers. Elle inclut l'évaluation des risques financiers auxquels est exposée une organisation, ainsi que l'élaboration de stratégies de gestion cohérentes avec les priorités et les politiques internes. |
|
68. |
La Cour a examiné si:
|
Cadre de gestion des risques financiers pour les opérations de placement et autres activités bancaires
|
69. |
Le cadre devrait donner une définition du risque financier à l'échelle de l'entreprise et établir les principes régissant la manière dont les risques financiers doivent être identifiés, évalués, suivis et contrôlés/atténués (49). La banque doit disposer d'un système de gestion des risques financiers au sein duquel les responsabilités sont clairement réparties. |
|
70. |
Le cadre de gestion des risques financiers de la BCE a été conçu de sorte à couvrir les risques afférents à deux types d'opérations de la BCE: i) les placements et ii) les crédits. Les opérations de placement se rapportent à deux portefeuilles, à savoir celui des réserves de change (50) (60 600 millions d'euros au 31 décembre 2010) et celui des fonds propres (51) (13 300 millions d'euros au 31 décembre 2010). Les opérations de crédit, quant à elles, sont liées aux opérations de politique monétaire (52). Dans le cadre de ses activités de placement, la BCE assure la gestion de ses réserves de change (53), de son portefeuille de fonds propres et du fonds de pension, et exerce des activités relatives aux deux portefeuilles détenus à des fins de politique monétaire (54). |
|
71. |
La division RMA est chargée d'assurer le fonctionnement du cadre global de gestion des risques pour les opérations de placement, ainsi que pour le suivi, l'évaluation et le contrôle des risques inhérents à ces opérations. Elle surveille le respect des politiques et des processus convenus en matière de gestion des risques de crédit et de marché. Les cas de non-respect sont communiqués conformément aux procédures d'intervention par paliers convenues. |
|
72. |
La DG-M est l'entité organisationnelle responsable de l'exécution des opérations de placement à la BCE. En outre, elle est chargée de la maintenance et de la poursuite du développement de l'application destinée à la gestion des portefeuilles de l'Eurosystème (55). La division Placements de la DG-M est responsable de l'élaboration des propositions du comité d'investissement concernant la référence tactique pour les portefeuilles de réserves de change et la gestion directe du portefeuille de fonds propres de la BCE. |
|
73. |
Le Handbook of Financial Risk Management (56), document clé en matière de gestion des risques financiers des activités de placement, présente une vue d'ensemble complète des politiques, des procédures et des processus pertinents, notamment en faisant référence aux documents adoptés par l'organe de décision de la BCE. |
|
74. |
Le cadre global et celui de gestion des risques financiers mis en place par la BCE aux fins de gestion des opérations de placement et autres activités bancaires donnent une définition du risque financier à l'échelle de la banque, et établissent les principes régissant la manière dont les risques financiers doivent être identifiés, évalués, suivis et maîtrisés/atténués. |
Méthodologie de gestion des risques financiers
|
75. |
Il convient d'élaborer des orientations adéquates en matière de placement permettant de déterminer l'appétence pour le risque de façon satisfaisante et fournissant des indications détaillées pour les opérations de placement. |
|
76. |
Le Handbook of Financial Risk Management de la BCE définit les éléments suivants:
|
|
77. |
Le processus de placement des réserves de change repose sur une structure à trois niveaux, en l'occurrence la référence stratégique, la référence tactique et les portefeuilles réels. La référence stratégique, qui reflète les préférences en matière de risque-rendement à long terme, relève de la décision du conseil des gouverneurs. |
|
78. |
S'agissant du processus de placement des fonds propres, il s'articule autour d'une structure à deux niveaux, à savoir la référence stratégique et le portefeuille réel. La référence stratégique relève de la décision du directoire. |
|
79. |
Les rendements sont maximisés en tenant compte de la contrainte de ne pas essuyer de perte et d'allouer les actifs; ils sont mis en œuvre par le biais d'une allocation stratégique spécifique des actifs (58). |
|
80. |
Les listes des pays, des émetteurs et des contreparties éligibles sont gérées par la division RMA. Celle-ci définit les limites pour les contreparties sur la base de la méthodologie approuvée par le directoire. S'agissant de la gestion des réserves de change, les limites fixées pour les banques centrales nationales sont établies conformément à la méthodologie approuvée par le conseil des gouverneurs. Une fois par an, toutes les limites sont systématiquement actualisées. En outre, l'incidence des changements de notation sur l'éligibilité et les limites est immédiatement prise en considération. |
|
81. |
L'allocation stratégique des actifs tient compte d'impératifs politiques stricts, à savoir:
Les horizons de risque et d'investissement sont déterminés sur une base annuelle pour les réserves de change et quinquennale pour les fonds propres. |
|
82. |
L'audit de la Cour a comporté un examen:
|
|
83. |
L'examen du cadre de gestion prises pour atténuer les risques financiers montre que la méthodologie appliquée permet de déterminer l'appétence pour le risque de manière satisfaisante et donne des orientations complètes en ce qui concerne les opérations de placement à la BCE. |
Application de la méthodologie de gestion des risques financiers
|
84. |
La méthodologie de gestion des risques financiers, telle qu'elle est décrite à la section précédente, devrait être appliquée efficacement dans la pratique. |
|
85. |
L'audit de la Cour a comporté:
|
|
86. |
S'agissant du cadre relatif à la VaR, les aspects suivants ont été examinés:
|
|
87. |
Les tests ont montré que la méthodologie a été mise en œuvre de manière adéquate. Toutefois, aucun document n'atteste que le «principe du double regard» a été appliqué. En outre, l'examen des modèles utilisés pour calculer les références stratégiques et tactiques ainsi que pour établir la VaR, y compris la validation du modèle, a permis de constater que, dans certains cas:
|
|
88. |
Un examen des meilleures pratiques utilisées dans d'autres organisations internationales similaires a montré que, à la suite de la crise financière aux États-Unis, la Banque fédérale de réserve de New York a mis en place une équipe chargée de la validation des modèles dans le cadre du renforcement des capacités en matière de gestion des risques financiers. L'encadré 4 présente les tâches principales de cette équipe. Encadré 4 Équipe chargée de la validation des modèles à la Banque fédérale de réserve de New York Les tâches principales de l'équipe consistent à:
|
Caractère adéquat de la communication d'informations sur les risques financiers
|
89. |
Il devrait exister un processus visant à assurer un suivi régulier des profils de risque et des dangers de pertes importants. Un système d'information et de suivi fiable devrait être mis en place. |
|
90. |
La division RMA veille au respect des politiques et processus convenus en matière de gestion des risques de marché et de crédit; elle est également responsable de la notification des cas de non-respect conformément aux procédures d'intervention par paliers prévues. La division RMA de la BCE communique régulièrement des informations sur le risque-rendement et les performances des portefeuilles de réserves de change et de fonds propres de la BCE, ainsi que sur les références stratégiques et tactiques correspondantes. Les rapports sont établis sur une base quotidienne, hebdomadaire, mensuelle, trimestrielle et annuelle. |
|
91. |
Les tests et les entretiens réalisés par les auditeurs ont confirmé que les rapports sur les performances sont établis régulièrement et transmis à la direction en temps utile. Toutefois, il a été constaté que les normes GIPS (59), considérées comme meilleures pratiques, ne sont pas pleinement respectées dans le cadre de l'établissement de rapports internes de la BCE sur les performances. |
CONCLUSIONS ET RECOMMANDATIONS
La BCE a-t-elle mis en place un cadre de gouvernance approprié et complet pour la gestion des risques?
|
92. |
La BCE a mis en place une structure organisationnelle complète, avec des rôles et des responsabilités clairement répartis. Toutefois, il existe une séparation marquée entre la gestion des risques financiers et celle des risques opérationnels au sein de la Banque, ce qui augmente la probabilité de ne pas disposer d'une vue d'ensemble complète des risques auxquels elle est exposée. Aucune autorité indépendante et unique, tel un responsable ou un comité des risques, n'a été instituée pour faire le lien entre le directoire et la fonction/les unités chargées de la gestion des risques, à savoir la fonction ORM/BCM et les unités relevant de la division RMA. |
|
93. |
Les comptes annuels de la BCE abordent brièvement certaines questions de gestion des risques, mais ne présentent pas une vue d'ensemble du processus de gestion des risques au sein de l'organisation, ni les risques encourus, ni l'approche adoptée par l'encadrement pour y faire face. Recommandations
|
La BCE a-t-elle géré efficacement les risques opérationnels auxquels elle est exposée?
|
94. |
La BCE dispose d'une structure organisationnelle claire; elle a établi des politiques adéquates en matière de gestion des risques opérationnels qui définissent l'approche adoptée par la Banque en matière d'évaluation, de suivi et de maîtrise/d'atténuation des risques. |
|
95. |
Si des évaluations descendantes ont été réalisées en 2008 et 2009 et des plans d'action définis pour chacune des entités organisationnelles, les analyses coûts-avantages n'ont toutefois pas été documentées. |
|
96. |
Un système d'établissement de rapports, de contrôle et de suivi a été mis en place et un calendrier a été convenu afin d'assurer le suivi des mesures prises en matière d'atténuation des risques pour les risques de niveau moyen ou élevé. S'agissant de certains risques, la procédure d'acceptation par le comité du risque opérationnel/le directoire a cependant nécessité vraiment beaucoup de temps. Aucune corrélation n'est établie entre les cycles de planification et de gestion des risques opérationnels. En outre, les activités liées à la gestion des risques opérationnels n'apparaissaient pas clairement dans les programmes de travail de certaines entités organisationnelles contrôlées. |
|
97. |
La BCE a élaboré un manuel de gestion des crises complet, qui définit les rôles, les responsabilités et les processus en cas de crise, et contient les coordonnées de l'équipe de gestion des crises. Chaque entité organisationnelle est pleinement responsable de l'établissement de son plan de continuité des activités. |
|
98. |
La BCE a mis en place un cadre solide, qui fournit des orientations sur les politiques, les processus et les responsabilités en matière de gestion de la continuité des activités au sein de l'organisation. Toutefois:
Recommandations
|
La BCE a-t-elle géré efficacement les risques financiers auxquels elle est exposée?
|
99. |
Le cadre global et celui de gestion des risques financiers mis en place par la BCE aux fins de gestion des opérations de placement et autres activités bancaires sont adéquats. L'examen du cadre de gestion des risques financiers a montré que la méthodologie adoptée en la matière est solide et adaptée à la gestion des opérations de placement et autres activités bancaires à la BCE. Toutefois, l'application pratique de cette méthodologie doit être améliorée, par exemple en ce qui concerne les modèles utilisés pour le calcul des références stratégiques et tactiques, ainsi que pour le calcul de la VaR. |
|
100. |
Les rapports internes relatifs à la gestion des risques fournissent aux cadres dirigeants et au directoire de la BCE des informations précises, adéquates et complètes sur la gestion des risques financiers. Les rapports sur les performances sont établis régulièrement et en temps opportun; en revanche, ils ne sont pas mis à jour de façon régulière de sorte à tenir compte des modifications apportées aux normes GIPS. Recommandations
|
Le présent rapport a été adopté par la Chambre IV, présidée par M. Louis GALEA, membre de la Cour des comptes, à Luxembourg en sa réunion du 27 mars 2012.
Par la Cour des comptes
Vítor Manuel da SILVA CALDEIRA
Président
(1) Article 127, paragraphe 1, du traité sur le fonctionnement de l’Union européenne.
(2) Les statuts du SEBC et de la BCE sont définis dans un protocole joint aux traités.
(3) L'article 27, paragraphe 2, du protocole sur les statuts du SEBC et de la BCE stipule que «les dispositions de l'article 287 du traité sur le fonctionnement de l'Union européenne s'appliquent uniquement à un examen de l'efficience de la gestion de la BCE».
(4) Article 9, paragraphe 3, du protocole sur les statuts du SEBC et de la BCE. Le conseil des gouverneurs se compose des six membres du directoire et des gouverneurs des banques centrales nationales de la zone euro. Le directoire se compose du président, du vice-président et de quatre autres membres.
(5) Article 12, paragraphe 1, du protocole sur les statuts du SEBC et de la BCE.
(6) La gestion des risques opérationnels couvre les risques liés aux activités de la BCE, y compris ceux liés aux processus et aux projets qui relèvent du SEBC/de l'Eurosystème.
(7) Les critères utilisés par la Cour à cet effet apparaissent en caractères italiques dans le présent document. Sauf indication contraire, il s'agit de ses propres critères.
(8) L'audit n'a pas porté sur la gestion des risques au niveau du Système européen des banques centrales (SEBC).
(9) Des visites d'information ont été effectuées auprès de la Banque fédérale de réserve de New York et de la Banque du Canada, et des questionnaires ont été adressés à ces mêmes banques ainsi qu'à la Banque nationale suisse.
(10) José Manuel González-Páramo, membre du directoire de la BCE, Ulrich Bindseil et Evangelos Tabakis, Risk Management for Central Banks and Other Public Investors (Gestion des risques pour les banques centrales et autres investisseurs publics), Cambridge University Press 2009.
(11) «High-level principles for risk management» (Principes directeurs en matière de gestion des risques), Comité européen des contrôleurs bancaires (CEBS), février 2010 (dans le texte: caractères italiques introduits par la Cour des comptes européenne; le passage apparaissant en gras dans le texte original est rendu par une police de caractères normale).
(12) Section, division, direction ou direction générale.
(13) Celle-ci relève de la DG-H.
(14) La fonction ORM/BCM remplit également le rôle de secrétariat pour le comité du risque opérationnel (ORC).
(15) Bien que partie intégrante de la DG-H d'un point de vue administratif, la division RMA fait directement rapport au membre du directoire responsable de la gestion des risques financiers.
(16) La BCE utilise son propre référentiel de présentation de l'information comptable, établi par la décision BCE/2006/17 concernant les comptes annuels de la BCE, telle qu'elle a été modifiée.
(17) La VaR est une mesure couramment utilisée pour évaluer le risque de perte pour un portefeuille d'actifs financiers donné. Pour un portefeuille, un niveau de confiance et un horizon temporel donnés, la VaR se définit comme la valeur seuil reflétant la probabilité de voir la perte du portefeuille évaluée à la valeur du marché, pour la période visée, la dépasser, dans des conditions de marché normales et à portefeuille identique. [Source: Value at Risk: The New Benchmark for Managing Financial Risk (Value at Risk: la nouvelle référence pour la gestion des risques financiers), (3e édition), Philippe Jorion, McGraw-Hill Professional, 2006.]
(18) Les normes internationales d'information financière (IFRS) sont des normes, des interprétations et un cadre fondés sur des principes adoptés par l'International Accounting Standards Board (IASB), également connues sous leur ancienne appellation de normes comptables internationales (IAS). En février 2001, la Commission européenne a présenté une proposition de règlement disposant que toutes les sociétés de l'UE cotées sur un marché réglementé, y compris les banques et les compagnies d'assurances, étaient tenues de préparer leurs comptes consolidés conformément aux normes comptables internationales d'ici 2005. Les États membres de l'UE avaient la possibilité d'étendre cette exigence aux sociétés non cotées et aux différents comptes des sociétés. Un mécanisme européen d'adoption des normes comptables internationales, aux niveaux politique et technique, a été mis en place afin de suivre l'intégration de ces normes au sein de l'UE.
(19) Jusqu'au 31 décembre 2010, la Banque du Canada établissait ses rapports conformément aux principes comptables généralement admis canadiens (Canadian Generally Accepted Accounting Principles), la présentation des informations sur la gestion des risques étant toutefois comparable aux IFRS. Depuis le 1er janvier 2011, la Banque du Canada établit ses rapports conformément aux IFRS.
(20) Chapitre 26 du «Business Practices Handbook» (BPH, Manuel des pratiques opérationnelles).
(21) En 2008, le directoire a décidé d'harmoniser le cadre de gestion des risques opérationnels de la BCE avec celui adopté au niveau du SEBC.
(22) Le risque opérationnel y est défini comme le risque d'incidence négative sur les finances, les activités et/ou la réputation, résultant de l'inadéquation ou de la défaillance de la gouvernance et des processus internes ou provenant de personnes, de systèmes ou d'événements extérieurs.
(23) Son mandat consiste à stimuler et à superviser l'élaboration, la mise en œuvre et le maintien à jour de la gestion des risques opérationnels à la BCE.
(24) Les membres sont des cadres dirigeants provenant des directions générales Opérations de marché, Systèmes d'information, Administration, RH, budget et organisation, et de deux entités organisationnelles jouant un rôle essentiel selon un roulement annuel, ainsi que le conseiller du directeur de la direction générale RH, budget et organisation.
(25) L'entité organisationnelle (le propriétaire du risque) responsable du risque horizontal (un risque ayant une incidence sur plusieurs entités organisationnelles) devrait recommander et/ou mettre en œuvre des mesures de traitement du risque appropriées qui soient applicables à l'ensemble de la BCE.
(26) D'après la conclusion de l'article «ERM at the Federal Reserve Bank of Richmond» (L'ERM à la Banque fédérale de réserve de Richmond), 2007, Jack Dorminey et Richard Mohn.
(27) Source: site web de la Banque du Canada, «Plan à moyen terme 2010-2012» (www.bankofcanada.ca – 13 juillet 2011).
(28) Pour certains projets, par exemple dans le domaine informatique, il existe des procédures spécifiques, telles qu'elles sont présentées dans les procédures relatives à l'organisation et au contrôle des projets (Project Organisation and Control Procedures). Les informations sur les risques relatifs aux projets sont communiquées séparément par l'intermédiaire du comité de pilotage de projet/comité de pilotage de projet des nouveaux locaux. La gestion des risques liés à des projets spécifiques a été exclue du champ du présent audit.
(29) «Principes directeurs en matière de continuité d'activité», Comité de Bâle sur le contrôle bancaire, août 2006, point 9.
(30) «Business Practice Handbook» (BPH), 5e édition, BCE, 24 septembre 2010.
(31) «Principes directeurs en matière de continuité d'activité», Comité de Bâle sur le contrôle bancaire, août 2006, point 10.
(32) «Analyses d'impact sur l'activité de la BCE», Étude 2006, direction générale Ressources humaines, budget et organisation, 16 janvier 2007.
(33) L'article 3 du protocole (no 4) sur les statuts du Système européen de banques centrales et de la Banque centrale européenne définit les missions statutaires à exécuter par la BCE.
(34) Business Continuity Guideline: A Practical Approach for Emergency Preparedness, Crisis Management, and Disaster Recovery (Orientations en matière de continuité des activités: une approche pratique pour la préparation aux situations d'urgence, la gestion des crises et la récupération après un sinistre), ASIS international, 2005, point 11.3.
(35) Sur la base de six scénarios de catastrophe, l'analyse d'impact sur l'activité permet d'examiner l'incidence de ceux-ci sur la capacité opérationnelle de chacune des entités organisationnelles.
(36) Requis par les principes directeurs en matière de continuité d'activité, Comité de Bâle sur le contrôle bancaire, août 2006, point 23.
(37) À savoir, les organes de décision en cas de crise, la composition de l'équipe responsable de la continuité des activités, les relations avec les autres équipes et l'emplacement de l'équipe responsable de la continuité des activités.
(38) À savoir, les processus qui ont été mis en évidence et approuvés dans le cadre de l'analyse d'impact sur l'activité, assortis d'une liste des tâches présentant en détail les différentes activités indispensables à la continuité des processus critiques en question.
(39) À savoir, le matériel informatique et de bureau, ainsi que les manuels.
(40) «Principes directeurs en matière de continuité d'activité», Comité de Bâle sur le contrôle bancaire, août 2006, point 13.
(41) La DG-IS dispose d'un processus de continuité des activités distinct. Il est soumis à un audit externe visant à vérifier sa conformité à la norme ISO 20000; c'est la raison pour laquelle la DG-IS a été exclue du champ de l'audit réalisé par la Cour en 2010.
(42) «Principes directeurs en matière de continuité d'activité», Comité de Bâle sur le contrôle bancaire, août 2006, principe 6.
(43) Norme britannique du code de bonne pratique en matière de gestion de la continuité des activités.
(44) «ECB Business Continuity Testing and Training Strategy» (Stratégie de la BCE en matière de tests de continuité des activités et de formation), comité du risque opérationnel, 4 mars 2008.
(45) Business Continuity Guideline: A Practical Approach for Emergency Preparedness, Crisis Management, and Disaster Recovery (Orientations en matière de continuité des activités: une approche pratique pour la préparation aux situations d'urgence, la gestion des crises et la récupération après un sinistre); ASIS international; 2005; point 12.1.1.
(46) «ECB Business Continuity Testing and Training Strategy» (Stratégie de la BCE en matière de tests de continuité des activités et de formation), comité du risque opérationnel, 4 mars 2008.
(47) «Business continuity testing and training strategy» (Stratégie en matière de tests de continuité des activités et de formation), p. 15; «Business Practice Handbook», point 26.1; «Business Continuity Framework» (Cadre de continuité des activités – intranet de la BCE); document intitulé «Business Continuity Management Policy» (Politique en matière de gestion de la continuité des activités).
(48) Rapport fondé sur l'enquête interne de satisfaction du client de la BCE réalisée en 2010 et 2009.
(49) Bâle, ERM COSO (référentiel Enterprise Risk Management – Committee of Sponsoring Organizations).
(50) Orientation de la Banque centrale européenne du 20 juin 2008 concernant la gestion des avoirs de réserve de change de la Banque centrale européenne par les banques centrales nationales et la documentation juridique requise pour les opérations portant sur ces avoirs (refonte) (BCE/2008/5) (2008/596/CE).
(51) «OFM Guideline» (Orientation relative à la gestion des fonds propres), juillet 2010; «The ECB’s Own Funds Investment Guidelines» (Orientations relatives au placement de fonds propres de la BCE), septembre 2010.
(52) Orientation de la Banque centrale européenne du 26 septembre 2002 relative aux normes minimales applicables à la Banque centrale européenne et aux banques centrales nationales lors de la conduite des opérations de politique monétaire et des opérations de change effectuées avec les réserves de change de la BCE et lors de la gestion des avoirs de réserve de change de la BCE (BCE/2002/6).
(53) Y compris les réserves d'or.
(54) L'un est destiné au programme d'achat d'obligations sécurisées et l'autre au programme pour les marchés de titres.
(55) Application utilisée pour la gestion des réserves de change de la BCE et de ses fonds propres, ainsi que pour la production des chiffres relatifs à la performance.
(56) «Handbook of Financial Risk Management, Policies and procedures» (Manuel sur les principes généraux et les procédures en matière de gestion du risque financier), mars 2008.
(57) Révision des points i) à v), régulièrement ou au moins une fois par an, par le directoire ou le conseil des gouverneurs.
(58) Les décisions sont prises par le conseil des gouverneurs pour les réserves de change et par le directoire pour les fonds propres, sur la base des propositions formulées par la division RMA.
(59) Les normes GIPS (Global Investment Performance Standards – normes internationales de présentation des performances), créées et administrées par le CFA Institute (Chartered Financial Analyst Institute) constituent un ensemble de principes éthiques normalisés et appliqués au secteur de la gestion d'actifs, qui fournissent des orientations sur la manière de calculer et de communiquer les résultats en matière d'investissement. L'adhésion à ces normes, basées sur les principes fondamentaux de totale transparence et de présentation honnête des résultats de la performance des investissements, est volontaire.
RÉPONSES DE LA BANQUE CENTRALE EUROPÉENNE
La Banque centrale européenne (BCE) accueille favorablement le rapport de la Cour des comptes européenne pour l’exercice 2010 ainsi que les observations et recommandations de la Cour en vue d’améliorations. La BCE note en outre que la Cour reconnaît: a) qu’elle présente une structure organisationnelle clairement définie et a mis en place des politiques adéquates de gestion des risques opérationnels; et b) que le cadre global de gestion des risques financiers tel qu’il a été établi par la BCE pour les opérations de placement et autres activités bancaires est approprié.
La BCE prend note des observations et recommandations de la Cour en vue d’améliorations. Les commentaires de la BCE au sujet de certains paragraphes et des sept recommandations sont détaillés ci-après.
Paragraphes 9 à 13 et 92
S’agissant de la description de la Cour du cadre global de gestion des risques de la BCE, quelques précisions peuvent être apportées.
Le cadre de gestion des risques opérationnels, qui couvre la mesure et le suivi de ces risques par la BCE, incombe à la fonction responsable de la gestion des risques opérationnels et de la continuité opérationnelle (Operational Risk Management & Business Continuity Management, ORM/BCM), rattachée à la direction générale des Ressources humaines, du budget et de l’organisation. Tant le cadre de gestion des risques financiers liés aux opérations de marché que la mesure et le suivi des expositions aux risques découlant de ces opérations sont de la responsabilité du service de la gestion des risques. Ce type de dispositif organisationnel est répandu dans les banques centrales et les organisations apparentées. En tout état de cause, la coexistence d’une fonction et d’un service spécifiques ne doit pas être interprétée comme un cloisonnement entre la gestion des risques financiers et des risques opérationnels, mais comme un choix organisationnel visant à assurer une répartition efficiente des tâches incombant collégialement au directoire en matière de gestion globale des risques à la BCE.
Étant donné les évolutions survenues depuis l’audit de la Cour, la BCE souhaite apporter les informations suivantes:
|
— |
dans le domaine des risques opérationnels, le comité du risque opérationnel, dont le rôle est de favoriser et de surveiller le développement, la mise en œuvre et la maintenance de la fonction ORM, est désormais présidé par le vice-président de la BCE, |
|
— |
en ce qui concerne les risques financiers, la BCE a réorganisé en juillet 2011 sa division Gestion des risques en un service de la gestion des risques, qui fonctionne de façon autonome et fait rapport au directoire par l’intermédiaire d’un de ses membres qui n’est pas en charge de la direction générale Opérations de marché. Ce changement a résulté: i) du rôle accru de la gestion des risques financiers au sein des banques centrales en général et de la BCE en particulier; et ii) des recommandations faites par le conseil des gouverneurs à toutes les banques centrales de l’Eurosystème afin que les membres de leurs instances de décision utilisent des dispositifs de reporting différents selon qu’ils ont la responsabilité des opérations de marché ou celle de la gestion des risques financiers. |
Voir aussi la réponse à la recommandation 1.
Paragraphes 16, 17 et 93
Des informations relatives à la gestion des risques figurent dans plusieurs chapitres du rapport annuel et dans les comptes annuels de la BCE. Les comptes annuels sont établis conformément aux règles et méthodes comptables que le conseil des gouverneurs de la BCE estime appropriées pour les activités de banque centrale. Ces principes sont appliqués systématiquement par toutes les banques centrales de l’Eurosystème aux opérations qu’elles conduisent. Ils sont considérés à l’échelle internationale comme des normes d’information financière adaptées aux banques centrales.
Les obligations juridiques de la BCE en termes d’information financière sont définies dans la décision de la BCE concernant ses comptes annuels (décision BCE/2010/21). La BCE suit les principes de valorisation fixés par les normes internationales d’information financière (International Financial Reporting Standards, IFRS), telles qu’elles ont été adoptées par l’Union européenne, lorsqu'aucun traitement comptable spécifique n’est prévu dans la décision BCE/2010/21 et en l’absence d’une décision contraire prise par le conseil des gouverneurs. De plus, en vertu de la décision susmentionnée, la BCE prépare ses comptes annuels en fonction du niveau de diffusion des informations décidé par le conseil des gouverneurs et n’est pas tenue de se conformer aux obligations stipulées par la norme IFRS 7 en matière d’informations à fournir.
Voir aussi la réponse à la recommandation 2.
Paragraphe 24
La BCE souhaite préciser qu’elle fournit aux coordinateurs et gestionnaires de risques, via les pages intranet qu’elle consacre à l’ORM, toutes les informations pertinentes, y compris concernant la classification des événements et de leurs causes profondes. Par ailleurs, lors du lancement de chacune des mises à jour de l’évaluation des risques opérationnels – effectuées une fois par an à l’échelle de la banque –, des orientations complémentaires ayant trait à l’identification des risques sont données aux entités organisationnelles.
Paragraphe 28
Le nombre des membres du personnel de la fonction ORM/BCM employés à titre permanent a été récemment porté à cinq. Du point de vue de la BCE, la composition actuelle de cette équipe tire avantage du détachement de personnel des banques centrales nationales et n’augmente pas le risque d’une mise en œuvre inappropriée du cadre de gestion des risques opérationnels.
Paragraphes 29 et 66
Afin de renforcer le degré de sensibilisation au cadre ORM et aux dispositifs de continuité opérationnelle, la BCE améliorera la présentation des informations sur les pages intranet correspondantes et invitera les responsables des équipes concernées à organiser des présentations de façon régulière dans les différentes entités organisationnelles.
Paragraphes 37, 58 et 95
Il convient, au titre des principes de la gestion des risques opérationnels, de conduire une analyse coûts-avantages dès la définition des stratégies à suivre face aux risques potentiels, afin de s’assurer que ces stratégies sont efficaces en termes de coûts. Or, une telle analyse ne devient essentielle qu’à partir du moment où une mesure est prise face à un risque concret. Ainsi, une analyse coûts-avantages est toujours requise lorsqu’un projet est engagé à la BCE.
Paragraphes 50 et 98 a)
La BCE met à jour son analyse d’impact sur l’activité quand cela est nécessaire et non à intervalles réguliers, le but étant de répondre en temps utile aux nouvelles exigences en matière de continuité opérationnelle (changements systémiques ou organisationnels, nouveaux processus ou nouvelles applications, etc.). Cela étant, après la remise au directoire, en 2007, d’une analyse d’impact complète sur l’activité, des exigences de continuité opérationnelle ont été intégrées à plusieurs occasions au cadre de gestion de la continuité opérationnelle.
Paragraphes 53 et 98 b)
La BCE estime que le plan « pandémique » complet qu’elle a élaboré est suffisant pour faire face à de lourdes pertes de ressources humaines. En outre, elle a pris des dispositions de secours pour assurer la poursuite de ses processus les plus essentiels dans le cas extrêmement improbable d’une indisponibilité totale du personnel.
Paragraphes 62 et 98 c) et d)
Du fait de la crise financière, la disponibilité de fonctions clés de la BCE est requise presque tous les week-ends, ce qui limite inévitablement l’étendue et la fréquence des tests de continuité opérationnelle globaux. Dès lors, tandis que des tests portant sur des scénarios concrets sont menés de manière régulière par l’équipe de gestion des crises, une approche plus prudente a été adoptée concernant les tests d’ensemble relatifs aux plans de continuité opérationnelle et aux installations informatiques de secours de la BCE, afin de réduire le risque d’interruption des opérations en cours.
Voir aussi la réponse à la recommandation 5.
Paragraphes 91 et 100
La BCE n’a pas adopté l’intégralité du cadre des normes internationales de présentation des performances (Global Investment Performance Standards, GIPS), car il n’est pas entièrement applicable à ses activités de banque centrale.
Voir aussi la réponse à la recommandation 7.
Recommandation 1
La BCE examine et accueille toujours favorablement les recommandations allant dans le sens d’une amélioration de sa gestion des risques et d’une application de pratiques performantes de banque centrale. La structure organisationnelle en place actuellement pour la gestion des risques fournit un cadre efficient à la répartition des tâches incombant collégialement au directoire en termes de gestion des risques globaux de la Banque.
Recommandation 2
En termes d’information financière, la BCE respecte déjà les obligations juridiques fixées dans la décision BCE/2010/21. Elle suit et continuera de suivre les évolutions des normes IFRS, en particulier sous l’angle de leur adéquation avec son information financière.
Recommandation 3
La BCE accepte cette recommandation. Tandis que ses différentes entités organisationnelles ont toujours intégré à leurs programmes de travail et leurs projets de budget annuels des actions et des coûts relatifs à la mise en œuvre de mesures de réduction des risques, elle a récemment modifié le calendrier des processus correspondants afin que la mise à jour annuelle de l’évaluation des risques opérationnels soit entièrement synchronisée avec les cycles de planification stratégique et financière.
Recommandation 4
La BCE accepte cette recommandation.
Recommandation 5
La BCE accepte cette recommandation. Elle s’engage pleinement à poursuivre le renforcement de ses plans de continuité opérationnelle et s’efforcera d’assurer la réalisation des programmes de test de tous les processus et objectifs concernés en temps utile. En revanche, elle mettra en balance l’urgence de mener les tests prévus et l’exigence de réduire les risques dans l’exécution des tâches qui lui incombent, d’autant plus dans la période actuelle de crise financière.
Recommandation 6
La BCE accepte cette recommandation et reste attachée à poursuivre l’examen, les tests et la compilation d’une documentation exhaustive de ses modèles de risques et de répartition des actifs dans le but de satisfaire aux critères les plus stricts.
Recommandation 7
La BCE suit et continuera de suivre les évolutions des normes GIPS, en particulier sous l’aspect de leur adéquation avec l’établissement des rapports internes de la BCE sur les performances des placements.