Le monde bancaire a toujours été l'objet de fraudes internes, de traders fous qui n'osant pas avouer leurs pertes, pris dans la spirale du jeu, du quitte ou double, ont franchi les limites qui leur ont été accordées jusqu'à mettre en péril leur entreprise. Ces traders trouvent chaque fois les failles du système et les exploitent à l'insu de leur entourage, et souvent avec une grande ingéniosité. Dans une direction des risques, il est un sujet sur lequel on ne peut avoir de doute : le système parfait n'existe pas. Donc, toutes les banques sont obligées d'accepter une certaine dose de flexibilité dans les processus et d'organiser le développement des activités en autorisant la prise de risque à l'intérieur d'un cadre qui en détermine le niveau acceptable.

Il faut bien comprendre qu'un système peut être contourné la plupart du temps. Un contrôle efficace ne pourra empêcher la fraude. Il aura un rôle dissuasif et pourra en réduire l'impact en la détectant dans les plus brefs délais. La fraude découverte par UBS prouve cependant que la qualité des contrôles doit être renforcée. Pourtant, tirant parti des enseignements de l'affaire Kerviel, le CEBS (Committee of European Banking Supervisors) a publié, en octobre dernier, 17 principes de gestion des risques opérationnels dans les activités de marché afin de compléter les recommandations générales dans ce domaine. Ce texte, qui sert aujourd'hui de cadre pour renforcer les contrôles, donne les moyens de limiter le montant et la durée des fraudes.

La gouvernance doit organiser la ségrégation entre les front-offices et les services en charge des opérations, en partant de l'accès physique aux systèmes back-office, aux fax, et à tous les éléments qui pourraient permettre d'organiser la création d'opérations fictives passant au travers des contrôles. Un trader ne pourra plus rester sans prendre des périodes de vacances de deux semaines consécutives, ce qui oblige un travail en binôme. L'accent est aussi mis sur la nécessité d'un niveau de technicité suffisant dans l'organisation pour permettre au management et au contrôle de "challenger" si besoin des explications élaborées et plausibles.

Mais les recommandations vont encore plus loin. Il est conseillé d'inclure la maîtrise des risques opérationnels dans les objectifs de performance et de mener des analyses spécifiques sur les risques de fraude. La capacité de recouper des informations provenant de différents départements est également clé dans la détection précoce de la fraude, par exemple entre la comptabilité et les risques. Le CEBS met l'accent sur les éléments du contrôle qui permettent de déceler plus rapidement une fraude interne. D'abord, la formalisation des feuilles de route des traders, avec une définition précise de ce qu'ils sont autorisés à faire et un code de "bonne conduite" renforçant la transparence des relations avec les contreparties. Une restriction de la possibilité de traiter en dehors des heures d'ouverture et un reporting immédiat des opérations dites "tardives" aux fonctions de contrôle ainsi qu'une revue régulière des droits d'accès aux applications informatiques.

Ensuite, une attention toute particulière aux opérations internes, aux modifications a posteriori mais aussi aux nominaux des transactions. L'accent est mis sur la confirmation rapide, voire automatique des opérations et l'analyse approfondie des écarts ou des problèmes de réconciliation, surtout lorsqu'elles sont conclues directement avec une contrepartie et non sur un marché listé.

Une nouveauté essentielle réside dans la mise en place d'un contrôle de cohérence entre les appels de marge des chambres et les positions enregistrées et le déclenchement d'alertes en cas d'inconsistance entre les positions et les appels de marge des contreparties : cela implique un rapprochement des fonctions de risques et de gestion des contrats de collatéralisation. Enfin, la clé de voûte du dispositif demeure l'explication des résultats et la connaissance des positions à un niveau suffisamment fin pour déceler les transactions anormales.

Tout ce dispositif ne fonctionne que si les alertes remontent au niveau hiérarchique approprié. Après chaque fraude, la plupart des banques procèdent à une analyse de leur dispositif... Le régulateur vient encore rappeler que les bases d'un contrôle de qualité sont une remise en question permanente. Le temps passant, la tendance naturelle est de faire confiance aux personnes mais cette confiance ne doit pas se substituer à une analyse systématique. L'obligation que crée le CEBS procure une aide précieuse en rendant les contrôles légitimes et incontournables.