La gestion des risques d’une banque s’est considérablement développée depuis dix ans, d’une part en termes de périmètre couvert et d’autre part, quant aux moyens mis en œuvre pour couvrir ce périmètre. En effet, s’agissant du périmètre, la volonté de surveiller l’exhaustivité des risques est manifeste : un exemple est celui des risques opérationnels qui, il y a encore quelques années, n’étaient pas ou peu surveillés alors qu’ils font désormais l’objet d’une véritable démarche de gestion des risques, à l’image de celle adoptée sur le risque de crédit et de marché. Pour ce qui concerne les moyens, il n’y a pas non plus d’ambiguïté : les directions de risque se sont toutes renforcées tant en quantité et qu’en technicité. Les équipes ont été étoffées et le niveau de technicité exigé d’un risk manager s’est considérablement élevé. Si la recherche de l’exhaustivité est vertueuse, la tendance à la « technicisation » du métier de risk manager est plus controversée. Elle répond certes à des besoins mais pourrait être source de dangers.

La gestion des risques bancaires et financiers s’est considérablement sophistiquée ces dernières années

Si on prend l’exemple des trois grandes classes de risque d’une banque – risque de crédit, risque de marché, risque opérationnel -, il est évident que la technicité requise, ne serait-ce que pour répondre aux exigences réglementaires, a considérablement augmenté. Les exemples abondent : l’utilisation des modèles internes Value-At-Risk sur les risques de marché du portefeuille de négociation ou sur les risques opérationnels, les formules dites IRB du texte Bâle II pour calculer la couverture en fonds propres du risque de contrepartie, le calibrage de ces formules en taux de défaut, taux de récupération, la mesure des effets de corrélation, etc. Ces questions, qui ne se posaient quasiment pas il y a encore dix ans, nécessitent désormais des ingénieurs de très haut niveau pour être traitées correctement.

Quelles en sont les raisons ? La plupart sont bien connues. Il y a en premier lieu une pression des marchés vers davantage de sophistication : les produits « plain vanilla » que toutes les banques savent construire, vendre et gérer finissent toujours par dégager des marges faibles, à la limite de la rentabilité. Inversement, les produits complexes et innovants, sous réserve bien sûr qu’ils répondent à une demande, ont des marges plus élevées, tout au moins tant qu’un savoir-faire spécifique et rare est nécessaire pour les gérer. La loi du marché conduit donc spontanément les banques (et d’ailleurs toutes les industries) à investir des territoires toujours plus sophistiqués. Concrètement, il peut aussi bien s’agir d’un produit dérivé exotique (banque de marché), d’un financement de projet complexe (banque commerciale), d’un prêt immobilier avec toutes sortes d’options (banque de détail) etc. Le risk management étant bien obligé de comprendre les produits et d’appréhender leurs risques, la sophistication du risk management suit – et si tout va bien, d’assez près – celle des front.

La réglementation en elle-même pousse à la sophistication

En deuxième lieu, la réglementation en elle-même pousse à la sophistication. Certes, il s’agit d’abord de répondre à la sophistication des marchés, comme décrit à l’instant, mais la réglementation bancaire est structurellement tentée d’aller plus loin. La faillite d’une banque occasionne des dommages collatéraux lourds à l’ensemble de l’économie. En outre, contrairement aux autres industries, les banques sont mal contrôlées par leurs créanciers, les déposants, car ces derniers ont peu de compétences et n'ont pas la motivation pour se charger de ce contrôle. Toutes ces raisons, à la base de la théorie de la réglementation bancaire, sont bien connues des micro-économistes et servent à justifier une réglementation spécifique et particulièrement exigeante du secteur bancaire.

La sophistication est aussi la résultante d’un souci de transparence. Que ce soit via les normes comptables IFRS, le pilier III de Bâle II, la loi de Sarbanes-Oxley, il existe une exigence forte et généralisée pour accroître la transparence des comptes, des ratios financiers, des indicateurs de toute sorte. A cet égard, cette transparence passe par la publication de chiffres, censés synthétiser l’état des risques, comme le paradigme de la Fair Value des normes comptables, la Value-At-Risk pour les risques de marché et bientôt risques opérationnels et risques de crédit, l’Earning-At-Risk etc.Incidemment, on peut ainsi anticiper qu’avec les normes IFRS/IAS, ce sera le tour de la comptabilité d’être « envahie » par les ingénieurs bien que ces derniers ne soient pas aujourd’hui formés à devenir des comptables.

Le risk management à la source de gains de productivité

Enfin, la sophistication du risk management est aussi le résultat de la recherche des gains de productivité. Les plans de cost-cutting dans une industrie comme la banque visent essentiellement à maîtriser les frais de personnel et à n’utiliser l’intervention humaine que sur les tâches à haute valeur ajoutée. En gestion des risques, cela signifie très concrètement de développer des outils statistiques d’aide à la décision (score, système expert) ou des indicateurs de risque synthétiques, accroissant encore la sophistication. Ainsi, à titre d’exemple, le Crédit Lyonnais a mis en place ces deux dernières années un outil sur le marché des PME, qui permet avec un système de notation sophistiqué de produire automatiquement et sans intervention humaine un véritable rapport écrit d’analyse crédit, générant ainsi des gains de productivité importants.

La sophistication de la gestion des risques génère elle-même des risques

Cette sophistication a donc une justification et une légitimité claires mais elle pose un certain nombre de problèmes qu’il ne faut probablement pas sous-estimer. En premier lieu, la complexité est évidemment plus difficile à maîtriser. L’utilisation des méthodes de quantification du risque génère des nouveaux risques : risque opérationnel de mauvaise implémentation d’un outil ou d’un indicateur de risque, de mauvaise compréhension, de calibration défectueuse. On peut penser par exemple à la méfiance qu’on peut avoir vis-à-vis d’un mark-to-model quand on sait que certains paramètres du modèle sont connus avec une précision très relative (paramètre de corrélation par exemple dans un pricer de produits multi sous-jacents ou dans un pricer de dérivés de crédit). On a un exemple récent d’une banque française ayant enregistré une perte significative à cause d’un problème de mis-pricing.

On oublie parfois la réalité économique dans laquelle ces outils sont utilisés.

Un risque apparaît également lorsque l’existence d’un outil de risque sophistiqué induit une confiance excessive et conduit les risk managers à abdiquer leur esprit critique ou les enseignements de leur expérience. Il est désormais acquis qu’un outil comme la Value-at-Risk est certes indispensable pour suivre les risques de marché mais ne suffit pas pour se sentir « confortable ». En outre, on oublie parfois la réalité économique dans laquelle ces outils sont utilisés. Si on prend l’exemple du suivi des dérivés sur inflation, il est symptomatique que les ingénieurs en charge de construire des modèles de pricing soient d’abord des matheux avant d’être des économistes et pour qui l’inflation est d’abord un « processus stochastique » avant d’être une variable macro-économique.

La sophistication de la réglementation pourrait paradoxalement générer aussi des risques pour la stabilité des systèmes financiers. En effet, toute réglementation suscite des comportements de contournement de la part des acteurs qui y sont soumis, notamment quand cette réglementation est très « prescriptive » comme celle que Bâle est en train de mettre en place sur le risque de crédit. On constate parallèlement une propagation des dérivés de crédit vers des sphères moins réglementées et moins compétentes telles que les hedge funds et les gestionnaires d’actifs, voire les directions financières des grands corporates. Entre Warren Buffet qui assimile les dérivés de crédit à une « arme de destruction massive » et Alan Greenspan qui met au crédit de ces mêmes produits la résistance (i.e. la « résilience ») des systèmes financiers ces dernières années, il y a une opposition totale que seule l’expérience future permettra de départager.

Le même type d’évolution est à l’œuvre à propos des normes comptables. Les nouvelles normes IFRS et IAS 39, notamment, vont-elles accroître la transparence des résultats comptables ou, au contraire, réduire leur lisibilité à cause de leur impact sur la volatilité des résultats ou des fonds propres des banques ? Le paradigme de la valeur de marché qui est en train de s’installer, y compris pour le portefeuille bancaire traditionnellement comptabilisé en couru, introduit de fait un risque de modèle fort.

Quelles qualités pour le risk manager ?

Ces quelques exemples montrent que la tendance à la sophistication des techniques de risk management est probablement inéluctable car conduite par les évolutions des marchés et de la réglementation. Elle est toutefois potentiellement porteuse de risques et doit donc être accompagnée. En particulier, quelques principes élémentaires doivent probablement être respectés. En premier lieu et au minimum, les équipes de risk management doivent être au même niveau de compétence que leurs interlocuteurs des sphères opérationnelles (front office des marchés de capitaux, directions commerciales, directions financières etc.). En pratique, cette exigence est un vrai défi en termes de gestion des ressources humaines et de politique salariale. On a vu toutefois que cela ne suffisait pas car il faut éviter que les discussions entre ceux qui prennent des risques, les « opérationnels », et ceux qui sont chargés de vérifier que ces risques restent dans des limites, les risk managers, ne se réduisent à des conversations entre matheux. Il faut au contraire que les risk managers aient également une forte culture d’économiste afin d’être capables d’une part de comprendre les grands enchaînements macro-financiers et d’autre part d’imaginer des scenarii dont l’histoire récente – qui est souvent la seule que les « opérationnels » ont en tête – ne donne pas d’exemples. En second lieu, une bonne gouvernance est indispensable : elle passe notamment par une indépendance forte des risk managers et des directions des risques vis-à-vis des opérationnels et des directions commerciales.

Au total, les qualités requises en risk management bancaire : culture scientifique forte, macroéconomie, micro-économie et théorie des incitations, théorie statistique, etc., donnent aux anciens élèves de l’ENSAE-ENSAI un avantage comparatif très fort par rapport aux autres formations.