Gestion des risques: FAQ
La gestion des risques est le cadre général mis en place pour gérer les différents risques financiers et non financiers auxquels sont exposées les institutions financières. Cela consiste à élaborer les politiques et les procédures nécessaires pour recenser, mesurer, suivre et contrôler ces risques. La gestion des risques nécessite également l’existence de ressources humaines appropriées, à savoir un responsable du contrôle des risques, un auditeur interne principal et des comités de gestion des risques et/ou d’audit interne au niveau du conseil d’administration. Une bonne gestion des risques doit faire la part des choses : il s’agit de prendre les risques qui en valent la peine pour l’institution financière tout en minimisant les pertes causées par ces risques.
Dans le secteur de la microfinance, les risques peuvent être classés en deux catégories : les risques institutionnels et les risques externes. Les risques institutionnels sont ceux que l’institution peut directement contrôler, tels que la gouvernance, la qualité de la gestion, le risque de crédit, la gestion de la clientèle et le risque de liquidité. Les risques externes sont ceux qui échappent au contrôle de l’institution, tels que les fluctuations des taux de change ou des taux d’intérêt, le surendettement des clients, la concurrence, le risque de réputation, l’ingérence politique, etc.
Les risques peuvent également être classés en trois autres catégories : risques financiers traditionnels (p. ex., risque de crédit, risque de change, risque d’illiquidité) ; risques « plus élevés » ou plus généraux, tels que les risques de réputation, les risques politiques et les risques liés à la réglementation ; et nouveaux risques liés à l’utilisation de la technologie, tels que les services bancaires mobiles et les opérations bancaires faites par des agents. Les risques financiers traditionnels peuvent normalement être bien gérés moyennant un personnel compétent, des contrôles internes efficaces et des politiques, des procédures et un contrôle appropriés. Les nouveaux risques peuvent nécessiter des méthodes de gestion plus perfectionnées. Pour en savoir plus sur les différents risques auxquels est confronté le secteur, le lecteur est invité à consulter le rapport Microfinance Banana Skins , une publication annuelle qui classe les vingt principaux risques en indiquant les critères utilisés pour ce classement. Selon le rapport 2012, les trois principaux risques dans le secteur de la microfinance sont les suivants : 1) surendettement, 2) gouvernance, et 3) qualité de la gestion.
L’expansion rapide du secteur de la microfinance a créé pour de nombreuses institutions une multitude de risques qu’elles ont du mal à appréhender, tout particulièrement dans un contexte de plus en plus concurrentiel. L’étude des crises passées en Inde, au Maroc, en Bosnie et au Nicaragua montre clairement que les institutions de microfinance et le secteur dans son ensemble n’ont pas su reconnaître les signes avant-coureurs et prendre les mesures nécessaires. Par exemple, les IMF ont pris des risques inutiles ou sous-estimé les effets négatifs de leurs actions. À mesure que d’autres institutions entrent sur ce marché et se développent, tandis que les IMF sont de plus en plus nombreuses à se transformer en banques commerciales, la microfinance devient une activité de plus en plus risquée, exposée aux fluctuations du marché, aux incertitudes politiques et aux changements de réglementation.
Aussi et surtout, la saturation de l’offre dans certaines régions a accru le risque de surendettement des clients. La mise en place d’un solide système de gestion des risques (politiques, procédures et personnel) contribue non seulement à la stabilité financière d’une institution, mais aussi au bien-être de ses clients. Dans l’ouvrage intitulé Governing Banks: MFI Edition, l’auteur Karla Brom affirme : « Nous devons donc veiller à ce que la gestion des risques fasse partie intégrante des activités de l’IMF au lieu d’en être distincte. Toutes les décisions concernant, par exemple, la recherche de nouveaux débouchés, les clients à démarcher, les produits à promouvoir et les comportements acceptables au sein de l’entreprise sont liées au niveau de risque que le conseil d’administration juge acceptable pour la banque ».
Au niveau du conseil d’administration, différents problèmes peuvent se poser, tels que le manque d’engagement, l’absence de priorités clairement définies et/ou la méconnaissance de ce que la gestion des risques implique pour le conseil. Il peut s’agir d’une méconnaissance générale des risques encourus par l’IMF, de la culture de prise en compte des risques et des contrôles internes nécessaires pour gérer ces risques, première condition à remplir pour mettre en place un solide cadre de gestion des risques. Par ailleurs, le conseil d’administration n’est peut-être pas certain du rôle qu’il devrait jouer dans l’atténuation des risques. Il se peut également qu’il estime ne pas disposer des outils ou méthodes appropriés et ne pouvoir donc pas faire grand-chose. Les conseils d’administration créent parfois eux-mêmes un problème lorsqu’ils attendent qu’un risque atteigne un niveau critique pour aborder la question de la gestion des risques au lieu d’en faire un sujet de discussion fréquent.
Comme le conseil d’administration, la direction et le personnel rencontrent des difficultés lorsqu’ils n’ont pas fait de la gestion des risques une priorité pour gérer les risques grandissants auxquels ils sont confrontés, et pour faire en sorte que l’institution fonctionne bien et de manière durable. Certaines institutions manquent aussi de personnel qualifié et formé pour assurer une bonne gestion des risques. Un autre problème est le manque d’outils, de ressources et d’orientations sur la gestion des risques. Et lorsque les ressources et les pratiques optimales existent, elles ne sont pas toujours bien connues, organisées, promues ou utilisées dans le secteur. Par exemple, alors que la plupart des IMF reconnaissent que l’existence d’un comité de gestion des risques au sein du conseil d’administration est une pratique optimale pour le secteur, 40 % des IMF interrogées dans une enquête MIX ont indiqué qu’elles n’ avaient pas de comité de gestion des risques, 32 % ont indiqué qu’elles n’avaient pas de responsable du contrôle des risques et 23 % ont déclaré qu’elles n’avaient pas d’auditeur interne. Quant à celles qui avaient un responsable du contrôle des risques ou un auditeur interne, elles ont déclaré que les deux fonctions relevaient généralement du directeur général contrairement aux meilleures pratiques reconnues. Ces chiffres donnent à penser que les IMF ne sont pas au courant de ces pratiques ou ne leur donnent pas la priorité qu’elles méritent. Pour résoudre certains de ces problèmes et attirer l’attention sur la gestion des risques dans le secteur, huit grandes institutions de microfinance ont décidé en février 2013 de lancer l’Initiative pour la gestion des risques dans le secteur de la microfinance.
Parmi les principaux acteurs dans ce domaine, on peut citer la Banque mondiale, la Société financière internationale (IFC), le CGAP, le Centre for the Study of Financial Innovation (CFSI), le Center for Financial Inclusion (CFI), divers consultants indépendants spécialisés en gestion des risques, les investisseurs et la nouvelle Initiative pour la gestion des risques dans le secteur de la microfinance (Risk Management Initiative in Microfinance – RIM). D’autres acteurs, comme MicroSave, MEDA et Triodos Facet, ont mis au point plusieurs outils de gestion des risques.
Le conseil d’administration a un rôle actif à jouer pour faire face aux risques institutionnels et externes, en indiquant clairement la voie à suivre. La première chose est de bien comprendre l’importance de la gestion des risques et ce qu’elle implique. L’une des fonctions du conseil d’administration est de définir la propension au risque de l’IMF afin d’arrêter sa stratégie, ses plans annuels et ses budgets, et à ce titre il doit veiller à ce que les risques encourus cadrent avec la mission et la culture de prise en compte des risques, et à ce qu’ils n’aient pas un impact négatif sur les clients. En outre, le conseil doit assurer l’efficacité des contrôles internes, notamment en définissant clairement les responsabilités et en exigeant de recevoir des rapports électroniques périodiques sur le risque, le cadre réglementaire et le contrôle. Il incombe au conseil d’administration de veiller à la création d’un service de gestion des risques solide, indépendant et digne de foi, avec lequel il communique régulièrement.
Parmi les autres mesures de gestion proactive des risques à mettre en place, le conseil d’administration devrait élaborer des scénarios de risque en procédant à des tests de vulnérabilité afin de voir ce qui se passerait dans différentes situations, pas exemple en cas d’augmentation des coûts de financement ou du portefeuille à risque, ou en cas de fortes fluctuations des taux de change. Les IMF et leurs conseils d’administration devraient également élaborer des plans de continuité des opérations et de financement d’urgence pour faire face aux scénarios fondés sur les hypothèses les plus sombres, tels que des catastrophes naturelles et des perturbations soudaines dans le financement.
Chaque institution se fixe des limites lorsqu’elle prend des risques stratégiques pour réaliser ses objectifs commerciaux et sa mission sociale. C’est ce qu’on appelle la propension au risque, ou le goût du risque, notion qui reflète la tolérance de l’IMF et sa culture de prise en compte de tous les risques - stratégiques, opérationnels, financiers, de défaut de conformité, et de réputation. Il est important de définir la propension au risque de l’IMF pour s’assurer que tous les risques sont bien identifiés et gérés.
Le responsable du contrôle des risques a trois fonctions principales : établissement de rapports sur les risques, suivi et analyse des risques, et présentation de la situation du point de vue des risques aux autres membres de l’équipe de gestion. La première fonction permet de s’assurer que tous les rapports nécessaires sont établis et fondés sur des données exactes. Le processus d’établissement des rapports devrait être revu chaque année. Ensuite, le responsable du contrôle des risques doit suivre et analyser tous les risques – risque de crédit, risque de marché, risque opérationnel, risque de mauvaise performance sociale, risque d’insolvabilité, risque de réputation, etc. – en accordant une attention particulière aux domaines qui présentent plusieurs risques à la fois. Enfin, en présentant la situation du point de vue des risques aux autres membres de l’équipe de gestion (y compris le Comité des actifs et des passifs, s’il existe) et au comité du Conseil d’administration chargé de la gestion des risques, le responsable du contrôle des risques fournit les informations nécessaires pour examiner les nouveaux produits, stratégies, etc. ; il est également responsable des tests de vulnérabilité et de la planification des scénarios.
L’auditeur interne principal rend directement compte au Comité de gestion des risques du Conseil d’administration. Il ne peut être nommé ou relevé de ses fonctions que par le Conseil d’administration. Il surveille les activités de l’IMF pour s’assurer qu’elles cadrent toujours avec les politiques et les objectifs définis. Il est chargé de veiller à ce que les systèmes de contrôle fonctionnent comme prévu et que les informations fournies à la direction et au conseil soient exactes. Il assure également le suivi des activités commerciales afin de détecter les fraudes et, le cas échéant, alerte le conseil dès que possible.